為(wèi)什麽我們認為(wèi)屬于網絡安全的時(shí)代已經過去了？

企業在網絡安全方面的投資比以往任何時(shí)候都多(duō)，但(dàn)我們也看到了創紀錄的違規數(shù)量。據報道(dào)，去年有(yǒu)51億多(duō)條個(gè)人(rén)信息被盜，平均違規成本已攀升至435萬美元。

 網絡安全威脅行(xíng)為(wèi)者變善良了嗎？或者這是一個(gè)商業失敗？

 不可(kě)否認，網絡罪犯已經變得(de)更有(yǒu)組織，更先進的工具和(hé)戰術(shù)越來(lái)越容易使用。但(dàn)所有(yǒu)這些(xiē)數(shù)十億美元沒有(yǒu)對違規數(shù)量産生(shēng)影(yǐng)響的真正原因是，資金往往沒有(yǒu)以正确的方式使用。

 有(yǒu)一個(gè)巨大(dà)的高(gāo)質量解決方案市場(chǎng)正在尋找解決網絡安全問題的方法，但(dàn)簡單地向它們投入資金最終不會(huì)改變安全狀況。必須正确實施解決方案才能真正幫助解決問題。

 這就是安全操作(zuò)概念的由來(lái)。

 将安全性與核心業務基礎聯系起來(lái)

 每個(gè)企業都需要在幾個(gè)核心業務的基礎上(shàng)取得(de)成功。

 這包括商業文化——将所有(yǒu)人(rén)聚集在一起并使他們願意在那(nà)裏工作(zuò)的一套價值觀——以及每個(gè)人(rén)對自己的角色所承擔的責任。

 然後是業務運營的流程，以及支持這些(xiē)流程的資源——所有(yǒu)這些(xiē)都越來(lái)越容易通(tōng)過自動化實現。最後，所有(yǒu)業務活動都需要産生(shēng)可(kě)測量的輸出。

 所有(yǒu)這些(xiē)結合在一起形成了組織的戰略，像一顆北極星，它賦予了組織目标并确定了其方向。

 網絡安全是一個(gè)獨特的命題，因為(wèi)它與這些(xiē)核心基礎中的每一個(gè)業務都有(yǒu)聯系。最終，除非具備這些(xiē)要素，否則任何安全戰略都不可(kě)能成功。

 使網絡安全符合業務指标

 實現網絡安全的第一步是開(kāi)始像其他商業投資一樣思考網絡安全。不幸的是，網絡消費幾乎是随機的，沒有(yǒu)目标。當然，這也意味着對績效和(hé)結果的有(yǒu)效衡量很(hěn)少(shǎo)。

 很(hěn)難想象其他任何商業元素會(huì)以這種方式運作(zuò)，特别是在支出持續增長的情況下。

想象一下，一位銷售總監要求将團隊人(rén)數(shù)增加一倍，但(dàn)一年後這項投資并未帶來(lái)任何收入增長。大(dà)多(duō)數(shù)公司都會(huì)立即讓銷售總監離開(kāi)。

 然而，在網絡安全方面，大(dà)多(duō)數(shù)公司将繼續向新的解決方案投入資金，而不清楚自己的安全狀況是否有(yǒu)所改善。事實上(shàng)，許多(duō)組織缺乏有(yǒu)意義的指标來(lái)衡量其投資是否有(yǒu)任何回報。

 因此，衡量的指标必須是安全運作(zuò)的首要任務。實現這一目标的指标需要側重于降低(dī)風險。公司需要有(yǒu)一個(gè)堅實的概念，知道(dào)他們在為(wèi)每一個(gè)安全元素做(zuò)預算(suàn)時(shí)試圖保護什麽，以及為(wèi)什麽要這樣做(zuò)。

 企業需要确定哪些(xiē)業務功能受到違規行(xíng)為(wèi)的影(yǐng)響最大(dà)，以及此類事件對業務運營的影(yǐng)響。基于這種理(lǐ)解，企業可(kě)以逆向工作(zuò)，構建一個(gè)安全戰略，以緩解這些(xiē)高(gāo)優先級風險。

 對于其他業務要素，企業知道(dào)當其運營中的某個(gè)要素明(míng)顯會(huì)虧損時(shí)，應調整哪些(xiē)杠杆。有(yǒu)些(xiē)風險可(kě)以緩解，有(yǒu)些(xiē)風險可(kě)以接受，有(yǒu)些(xiē)風險則可(kě)以轉移——同樣的思維過程也需要應用于網絡安全。

企業文化和(hé)問責制(zhì)是關鍵

 随着公司對其網絡風險優先事項的認識不斷提高(gāo)，他們也應該熟悉自己的成熟度水(shuǐ)平。這不是一個(gè)單一的衡量标準，而是适用于每一個(gè)核心基礎——企業文化、問責制(zhì)、流程、資源、自動化和(hé)衡量。

企業在一個(gè)領域的網絡風險應用可(kě)能比另一個(gè)領域更成熟。也許它已經建立了成功的自動化，但(dàn)缺乏問責制(zhì)。或者反之亦然。

 雖然某些(xiē)業務方面更容易定義，但(dàn)其他方面則更模糊。在安全方面，文化往往是一個(gè)模糊的概念，在特定的安全角色之外，問責制(zhì)也往往沒有(yǒu)定義。

 這裏一個(gè)有(yǒu)用的方法是在整個(gè)組織中建立與安全相關的各種角色，并為(wèi)每個(gè)角色創建一個(gè)文化記分卡。更重要的利益相關者，如執行(xíng)領導層，應該具有(yǒu)更高(gāo)的成熟度水(shuǐ)平，而對更一般的員工來(lái)說，這并不重要。如果一個(gè)部門(mén)的成熟度和(hé)責任感明(míng)顯低(dī)于您所需的水(shuǐ)平，那(nà)麽是時(shí)候開(kāi)始實施培訓等措施來(lái)改善情況了。

 适應商業文化從來(lái)不是一個(gè)快速解決方案，因此企業應該預計(jì)這是一個(gè)漸進的過程，至少(shǎo)需要12-18個(gè)月。

與此同時(shí)，企業可(kě)以開(kāi)始實施可(kě)靠的指标，以有(yǒu)效跟蹤其解決方案的投資回報率（ROI）。安全關鍵績效指标（KPI）應以非技(jì)術(shù)領導層和(hé)利益相關者能夠理(lǐ)解的方式與業務影(yǐng)響緊密相關。

 平均分辨時(shí)間(jiān)（MTTR）是最有(yǒu)用的例子之一。在網絡環境中，這意味着從識别威脅或漏洞到關閉它之間(jiān)的時(shí)間(jiān)。但(dàn)它在其他業務問題的更廣泛背景下也得(de)到了很(hěn)好的理(lǐ)解。

打破網絡安全支出循環

 很(hěn)明(míng)顯，面對同樣飛漲的安全風險，飛漲的網絡安全支出是不夠的。這種方法是不可(kě)持續的——特别是随着業務技(jì)術(shù)本身在過去幾年中随着雲遷移和(hé)遠程工作(zuò)等因素的迅速變化。

 套用愛(ài)因斯坦的話(huà)：我們不能用我們創造問題時(shí)使用的那(nà)種思維來(lái)解決問題。

 企業需要後退一步，開(kāi)始運營其信息安全性，而不僅僅是再增加一年的預算(suàn)。是通(tōng)過追蹤網絡安全與核心業務基礎的聯系，企業可(kě)以開(kāi)始确保其投資在降低(dī)風險敞口方面取得(de)了真正的成效。