壞消息是什麼?業務單位與網路安全部門之間存在著斷層。好消息又是什麼?只要密切合作,結果就會大不相同。
如果您擔任資安長、安全長或其他網路安全主管已經有一段時間,執行長、董事會成員或其他資深高階主管很可能經常問您「我們有多安全?」這樣的問題。您也一定知道,回答這個問題並不像聽起來那麼簡單。
在大型企業風險瞬息萬變的時期,包括疫情全球大流行、經濟衰退以及遠距工作等,全球各地的網路攻擊與風險肆虐,不僅擴大了每一個風險的影響,也讓網路安全升級成為董事會層級考核的議題。然而,站在前線的我們卻要和許許多多的挑戰搏鬥,難以協助業務主管瞭解公司網路安全態勢的清楚樣貌。
Tenable 觀察到這些重大挑戰漸漸浮現,並協助安全主管與他們的業務單位對口展開對話,我們委託 Forrester Consulting 對 416 位安全高階主管和 425 位業務高階主管進行了一項線上調查,從研究發現中檢視中到大型企業的網路安全策略與實務。調查結果所寫成的研究報告「和業務單位密切合作的安全主管之崛起」發現,資安團隊與業務單位的期望之間存在著斷層,以及安全主管所面臨的現實狀況。不過,該報告也發現,或許當今數位企業所面臨的最大機會,就是將資安長的角色提升到和其他高階主管的同等地位。
未來將屬於和業務單位密切合作的網路安全主管
該研究發現了 4 個重要的主題:
- 網路安全威脅在充滿變數的環境下與日俱增,使它成為值得董事會層級關注的議題。大多數的企業 (94%) 在過去 12 個月當中,遭遇過一次影響業務*的網路攻擊或入侵事件。大約三分之二 (65%) 的企業表示,這些攻擊涉及操作技術 (OT) 資產。
- 業務主管想要清晰瞭解企業網路安全態勢,安全主管卻無力提供。10 位安全主管中,只有 4 位表示能充滿信心地回答這個問題:「我們有多安全?」或是「我們的風險有多高?」缺乏資料整合以及相互聯結的業務背景資訊,造成網路安全決策者面臨重重困難。
- 企業掌握網路風險與管理風險的方式之間存在著斷層。 不到 50% 的安全主管能夠在特定業務風險的背景下勾勒出網路安全威脅的影響範圍。而只有半數 (51%) 的安全主管表示,他們的安全部門會跟業務部門的利害關係人就成本、績效和降低風險的目標以及業務需求密切配合。10 位安全主管中,只有 4 位 (43%) 表示會定期與業務單位的利害關係人共同檢討安全部門的績效指標。
- 網路安全必須進化成和業務策略一樣成熟。只有在安全主管對其企業的攻擊破綻擁有更高的能見度時,這個目標才有可能實現。只有超過半數的安全主管表示,自己的安全部門能全面掌握與評估其企業的整體攻擊破綻,不到 50% 的安全部門會採用情境式威脅指標來衡量其企業的網路風險。也就是說,他們分析網路風險以及根據業務關鍵性和威脅背景排定優先順序與執行修復工作的能力很有限。
研究顯示,若安全和業務主管針對有共識的業務風險資料密切合作,就能共同締造出重要、顯著的成果。相較於孤立行事的安全主管,與業務單位密切合作的安全主管對於報告所屬企業安全或風險等級的信心高出了 8 倍。在當今的經濟環境下,由於全球經濟衰退而使得企業重新評估其開支,這一點更值得注意:85% 與業務單位密切合作的安全主管能夠掌握追蹤網路安全 ROI 及業務績效影響的指標,而在被動、孤立行事的安全主管中,只有 25% 能掌握這些指標。
就像 Sentara Healthcare 資安長 Dan Bowden 在去年與 Tenable 的訪談中指出:「在當今的環境下,社會對於在風險管理方面做得不錯的公司會給予許多關注,每間企業的每個領導團隊和董事會都希望參與解決問題的過程。如果可以提供他們有關曝險的正確資料 (而這恰好是我們必須要做的事),他們就能瞭解資料並且將資料與風險產生關聯。他們希望能夠參與其中,協助您解決問題並且更加妥善地管理風險。」
「當今世界,社會對於在風險管理方面做得不錯的公司會給予許多關注,每間企業的每個領導團隊和董事會都希望參與解決問題的過程。」 Sentara Healthcare 資安長 Dan Bowden
為了密切合作,資安長和其他安全及風險管理主管必須結合適當的技術、資料、流程與人員。例如,絕大多數與業務單位密切合作的企業 (80%) 擁有一位業務資訊安全長 (BISO) 或類似的職位,而較沒有密切合作的企業則只有 35% 設有這樣的職位。該研究也顯示,在將關鍵弱點評估流程自動化方面的腳步上,與業務單位密切合作的安全主管和採取較被動回應或獨立作業的安全主管之間為 +66 個百分點和 + 49 個百分點的差距。
接下來的章節將探討研究的上述結果及其他結果,提供指引,介紹 Tenable 如何協助企業因應斷層背後的技術與資料挑戰。在第 1 章中,我們將更深入探索安全主管在回答「我們有多安全?」這個問題時所面臨的許多挑戰。第 2 章採取「取材自重大新聞」的角度,瞭解企業如何應變新冠病毒疫情,說明業務與網路之間的斷層在真實生活中如何顯現。在第 3 章中,將討論現有的網路安全指標為何不足,無法提供資安長與其他安全主管處理業務風險所需要的資料。第 4 章與第 5 章 將討論與業務單位密切合作的網路安全實務應該如何進行,以及您如何在貴公司內著手建立這樣的合作關係,並提供我們的秘訣與建議,將您本身的角色轉型為與業務單位密切合作的網路安全主管。
—Tenable 安全長 Robert Huber *出於本研究需要,「影響業務」是指與造成下列任一或更多後果的網路攻擊或入侵相關之事件,包括:損失客戶、員工或其他機密資料;日常運作中斷;為勒索軟體付出贖金;財務損失或遭竊;和/或智慧財產遭竊。企業如何客觀地衡量網路風險
採用 Cyber Exposure 管理的最佳做法後,企業能更有效減少部門之間的壁壘,導入討論風險的共同語言,也就是業務團隊與安全團隊都瞭解的語言。利用 Tenable 解決方案,企業就能全面評估、管理,並最終減少自己在現代攻擊破綻中的網路風險。Cyber Exposure 提供企業客觀衡量自身網路風險的方法,包含計算內部與同業的風險評分,以便協助引導策略型決策,使安全計畫更能配合業務目標。就像其他部門都有一套紀錄系統,例如資訊科技有資訊科技服務管理 (ITSM) 系統,銷售有客戶關係管理 (CRM) 系統,Tenable 也是如此,可以成為企業的紀錄系統,有效地將網路風險當作業務風險加以管理與衡量。