危机过后确保网络安全的4种技巧
|
在Trend Micro公司和Enterprise Strategy集团最近进行的一项调查中,约有85%的安全负责人表示,与两年前相比,企业董事会在安全决策和战略方面的参与度更高。但是,由于重大泄露事件、新的合规性要求或业务信息安全官(BISO)的安全计划,这些高管才会关注。 该报告建议,企业需要增加业务信息安全官(BISO)的职位以改善业务安全一致性,其职责是建立自上而下的可衡量项目,并更改报告结构,以便首席信息安全官(CISO)直接向企业首席执行官报告。归根结底,首席信息安全官(CISO)有责任与企业高管和董事会建立密切关系,并与他们进行定期对话。 为了保持发展势头,首席信息安全官(CISO)必须以业务术语提供稳定的信息流,并以风险和网络安全战略的形式(不仅是技术解决方案)让企业董事会保持关注。安全主管和分析师提供了一些技巧、工具和框架,以帮助将安全性转化为策略并确保网络安全。 1. 与商业模式相匹配SANS公司安全意识总监Lance Spitzner说,“首席信息安全官(CISO)必须具有周全的策略,并且有战略业务工具才能做到这一点。”SANS公司为安全领导者提供了为期五天的类似“MBA”课程,以了解企业高管和董事会用来衡量风险和制定策略的业务模型和框架。首席信息安全官(CISO)可以研究PEST模型、SWOT分析、平衡计分卡,或如何将能力成熟度模型集成(CMMI)模型与NIST网络安全框架相结合,以向企业董事会成员传达其不同战略安全计划的成熟度。 Spitzner指出,首席信息安全官(CISO)不必了解所有这些模型,只需了解对企业董事会至关重要的模型即可。他们需要与企业董事会成员交谈,并询问他们在董事会会议中使用哪种类型的模型。 一些行业特定的安全框架也促进了企业董事会的讨论。 Abacus公司最近完成了HITRUST认证,这是医疗保健领域的一个通用安全框架,处理受保护的健康信息的组织经常需要此框架。Brown表示,这些认证使企业的安全活动更加结构化,其中包括与董事会成员沟通方面的要求。其中一些控制措施包括与执行团队进行定期对话,讨论他们在保护资产方面的角色以及业务合作伙伴的角色,其责任与首席信息安全官(CISO)相同。 数据可视化工具还可以帮助首席信息安全官(CISO)更好地将网络数据转化为业务影响。Brown为Abacus公司创建了一个季度热图图表,该图表使用颜色表示表中的数据值,从绿色的低概率、低影响问题到红色的高概率、高影响问题。数据值显示了已确定的潜在风险,在Abacus公司发生的每种可能性以及发生的影响,其中包括对客户、对业务的看法以及与供应商和合作伙伴的关系的影响。他的团队定期监视和更新此数据。 Brown说:“企业董事会期待看到自从上个季度以来热图的变化。如果某个事件具有高潜力、高影响力,可以讨论安全团队正在做些什么,以使它们的可能性或影响力降低。” 2. 以竞争对手为基准进行衡量Pescatore说,企业董事们和高管们希望首席信息安全官以竞争对手为基准衡量自己的工作,这类似于首席财务官和首席运营官向企业董事会展示的内容。他说:“企业董事会成员希望听到,在安全计划或保护供应链方面,是比竞争对手更差还是更好?但通常很难做到这一点。”他指出,但是有很多资源可以提供帮助。美国信息共享和分析中心委员会是一个针对特定行业的组织,主要负责收集和共享有关对关键基础设施的网络威胁的信息。 美国信息共享和分析中心(ISAC)还促进了公共部门和私营部门团体之间的数据共享。该中心列出了24个行业作为参与成员,其中包括医疗保健、零售、酒店、金融服务、媒体以及石油和天然气。Pescatore说:“人们有能力团结起来应对这种情况,只是没有被充分放大。” (编辑:衡阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
