談?wù)摽赡芎芊奖悖贗T安全方面，與同事、業(yè)務(wù)合作伙伴和其他相關(guān)方進(jìn)行戰(zhàn)略對話的價值可能是不可估量的。

技術(shù)研究和咨詢公司ISG網(wǎng)絡(luò)安全部門聯(lián)席主管羅杰·阿爾布雷希特表示，通過持續(xù)的討論解決網(wǎng)絡(luò)安全問題的價值在于，讓企業(yè)在有效和穩(wěn)健的戰(zhàn)略上保持一致。

(相關(guān)資料圖)

“這樣的討論確保將網(wǎng)絡(luò)安全倡議和資源需求整合到企業(yè)的業(yè)務(wù)目標(biāo)中。”他補(bǔ)充道。這些討論解決了不斷變化的監(jiān)管和合規(guī)問題，并揭示了風(fēng)險緩解方面的漏洞和威脅。

Albrecht說，正在進(jìn)行的IT安全戰(zhàn)略對話應(yīng)該降低企業(yè)的網(wǎng)絡(luò)風(fēng)險，并實現(xiàn)戰(zhàn)略目標(biāo)?！斑@樣的對話，應(yīng)該以明確的行動、好處、時間表以及彌補(bǔ)差距所需的預(yù)算和資源來結(jié)束。

對于希望建立更強(qiáng)大的網(wǎng)絡(luò)安全戰(zhàn)略的IT領(lǐng)導(dǎo)者來說，以下7個問題是你應(yīng)該與高管同事、業(yè)務(wù)合作伙伴和IT員工進(jìn)行深入網(wǎng)絡(luò)安全戰(zhàn)略對話的關(guān)鍵提示。

1、我們的系統(tǒng)是否在安全方面有足夠的現(xiàn)代化?

谷歌云CISO Phil Venables表示，企業(yè)應(yīng)該討論如何對其技術(shù)基礎(chǔ)設(shè)施進(jìn)行現(xiàn)代化改造，以支持內(nèi)置安全而不是簡單地連接的體系結(jié)構(gòu)。

遺留系統(tǒng)通常存在固有缺陷，因為它們的設(shè)計不像更現(xiàn)代的體系結(jié)構(gòu)——通常是公有云或私有云——那樣具有防御性。Venables觀察到，在過去10年中，有許多案例表明，企業(yè)在網(wǎng)絡(luò)安全產(chǎn)品上進(jìn)行了大量投資，但尚未升級其整體IT基礎(chǔ)設(shè)施或?qū)崿F(xiàn)軟件開發(fā)方法的現(xiàn)代化。

“這相當(dāng)于在沙子上蓋房子?！彼f。如果不繼續(xù)關(guān)注和投資于IT現(xiàn)代化，企業(yè)將無法充分實現(xiàn)安全進(jìn)步的好處，從而使其企業(yè)容易受到惡意活動的攻擊。

Venables建議，現(xiàn)代化對話應(yīng)在董事會會議室、高管領(lǐng)導(dǎo)層會議和業(yè)務(wù)部門特定戰(zhàn)略會議中舉行。

“歸根結(jié)底，只要在正確的利益相關(guān)者之間進(jìn)行討論，并啟動路線圖，企業(yè)就會為成功做好準(zhǔn)備?！彼f。

2、我們是否在應(yīng)對網(wǎng)絡(luò)場景時達(dá)到了我們應(yīng)該達(dá)到的程度?

管理咨詢公司艾斯納咨詢集團(tuán)(Eisner Consulting Group)合伙人兼外包IT服務(wù)主管拉胡爾·馬納(Rahul Mahna)認(rèn)為，與團(tuán)隊和管理同事一起玩情景游戲可以刺激有用的安全洞察。

例如，如果一個關(guān)鍵客戶的業(yè)務(wù)因網(wǎng)絡(luò)攻擊而關(guān)閉，會發(fā)生什么?下一步會是什么?“這種類型的事件響應(yīng)計劃在我們的客戶對話中非常有價值，”Mahna解釋說。他建議，這樣的安全戰(zhàn)略對話不應(yīng)該是偶爾的、一次性的討論，而應(yīng)該是一系列持續(xù)的、定期的對話。

除了定期對話，Mahna建議每年舉行一次以安全為重點的會議，并結(jié)合事件響應(yīng)計劃測試，使主要高管和經(jīng)理了解不斷發(fā)展的政策、實踐和角色的最新情況。

Mahna建議說，計劃在網(wǎng)絡(luò)攻擊發(fā)生時應(yīng)該做什么是一項極其寶貴的資產(chǎn)，應(yīng)該在運(yùn)行手冊中進(jìn)行實質(zhì)性的限定和量化?！斑@本書應(yīng)該被共享，并提供給指定的安全團(tuán)隊成員，以提供一條途徑，以便在發(fā)生安全漏洞時，能夠成功地執(zhí)行經(jīng)過深思熟慮的應(yīng)對計劃。”

3、我們是否培養(yǎng)了一種安全文化?

亞馬遜網(wǎng)絡(luò)服務(wù)全球安全合作伙伴主管瑞安·奧爾西(Ryan Orsi)表示，領(lǐng)導(dǎo)者為他們企業(yè)的IT安全戰(zhàn)略定下了基調(diào)。在一種安全文化中，每個員工都感覺自己有權(quán)在經(jīng)過批準(zhǔn)的安全護(hù)欄內(nèi)快速移動，從而帶來更快的創(chuàng)新周期、更快的業(yè)務(wù)成果以及更高的最終客戶滿意度。

Orsi說，激勵個人在定義明確的安全護(hù)欄內(nèi)創(chuàng)新和快速行動的企業(yè)是最有效的。如果你覺得你的企業(yè)在發(fā)布應(yīng)用程序更新、網(wǎng)站更新和數(shù)據(jù)庫更改等項目之前打開票證請求安全團(tuán)隊批準(zhǔn)，那么你可能就沒有在安全文化中運(yùn)營。“通過將安全文化融入整個領(lǐng)導(dǎo)層，你很可能會感受到不同?！?/p>4、我們對新出現(xiàn)的威脅評估是否真的是最新的?

網(wǎng)絡(luò)罪犯從不睡覺;他們總是放縱和腐敗。商業(yè)管理咨詢公司摩根·富蘭克林咨詢公司的高級經(jīng)理格里芬·阿什金建議：“在IT安全戰(zhàn)略方面，必須就網(wǎng)絡(luò)威脅的新性質(zhì)進(jìn)行非常直接的對話?！?/p>

阿什金警告說，最近的經(jīng)驗表明，網(wǎng)絡(luò)罪犯現(xiàn)在正在超越勒索軟件，進(jìn)入網(wǎng)絡(luò)勒索。他們威脅要向外界公布企業(yè)員工的個人身份信息(PII)，使員工面臨身份被盜的巨大風(fēng)險。

阿什金認(rèn)為，安全領(lǐng)導(dǎo)者應(yīng)該努力重新部署盡可能多的本地基礎(chǔ)設(shè)施資源，從而將網(wǎng)絡(luò)保護(hù)責(zé)任轉(zhuǎn)移到云提供商身上。此外，定期安排的管理層對話應(yīng)導(dǎo)致關(guān)鍵決策，例如對增強(qiáng)的安全工具的潛在投資、更新的安全意識培訓(xùn)材料、與最終用戶的更多溝通以提高對最新安全威脅的認(rèn)識，以及應(yīng)對和降低員工風(fēng)險所需的任何其他相關(guān)步驟。

5、我們是否制定了真正有效的事件響應(yīng)計劃?

網(wǎng)絡(luò)安全公司Camelot Secure的解決方案工程總監(jiān)扎卡里·?？?Zachary Folk)建議，每個企業(yè)都需要舉行一次聚焦于事件響應(yīng)的對話。

Folk說，規(guī)劃至關(guān)重要。討論應(yīng)包括企業(yè)的執(zhí)行人員，包括CIO、CISO、CTO、事故應(yīng)對小組協(xié)調(diào)員和所有部門負(fù)責(zé)人。他建議，這些會議和對話應(yīng)該導(dǎo)致制定或更新事件應(yīng)對計劃。討論還應(yīng)審查關(guān)鍵任務(wù)資產(chǎn)和優(yōu)先事項，評估攻擊的可能影響，并確定最有可能的攻擊威脅。

Folk說，通過將企業(yè)的風(fēng)險管理方法從基于矩陣的測量(高、中或低)改為量化的風(fēng)險降低，你可以根據(jù)需要將實際的潛在影響建立在盡可能多的變量上。通過使用簡單的蒙特卡羅模擬和從你的企業(yè)收集的數(shù)據(jù)，你可以為高級員工提供實際的損失、潛在發(fā)生和影響的概率。

6、我們的安全投資是否實現(xiàn)了最大投資回報?

IT資產(chǎn)可見性和網(wǎng)絡(luò)安全公司Sevco的CSO布萊恩·康托斯表示，是時候停止逃避安全ROI對話了。他指出，企業(yè)在CMDB、SIEM、SOAR、EDR、漏洞管理和相關(guān)解決方案方面投入了大量資金。

“為了實現(xiàn)這些解決方案的價值，企業(yè)需要確保流入它們的信息(如資產(chǎn)情報)是及時、準(zhǔn)確和經(jīng)過重復(fù)數(shù)據(jù)消除的，”他說。企業(yè)級安全解決方案中強(qiáng)大的資產(chǎn)智能不僅能幫助你更好地降低風(fēng)險，還能提高這些投資的投資回報率。

Contos說，ROI對話應(yīng)該會導(dǎo)致安全、IT運(yùn)營和GRC(治理、風(fēng)險和合規(guī)性)團(tuán)隊更好地了解他們的環(huán)境。它應(yīng)該專注于所有好的和不好的東西，同時確定需要最快速改進(jìn)的領(lǐng)域。然后，可以將優(yōu)先行動分配給適當(dāng)?shù)膱F(tuán)隊，以處理許可、流程改進(jìn)、漏洞查找、安全控制可見性和監(jiān)管要求等主題。

“最終，當(dāng)利用資產(chǎn)情報來豐富專注于安全、IT運(yùn)營和GRC的現(xiàn)有工具的有效性時，應(yīng)將降低風(fēng)險和最大化ROI結(jié)合起來?！彼ㄗh說。

7、我們的財務(wù)風(fēng)險究竟有多大?

也許最關(guān)鍵的IT安全戰(zhàn)略對話集中于回答一個問題：“如果我們的IT系統(tǒng)出現(xiàn)故障，我們的客戶將面臨什么經(jīng)濟(jì)損失?”

這些討論的目標(biāo)應(yīng)該是建立一個安全、健壯和有彈性的IT環(huán)境，一個客戶可以確保保持正常運(yùn)行的環(huán)境，允許產(chǎn)品和服務(wù)不間斷地交付，托管服務(wù)和IT戰(zhàn)略公司Blue Mantis的現(xiàn)場CISO羅布·菲茨杰拉德說。

菲茨杰拉德建議，這種對話應(yīng)該不少于每年一次，最好是在預(yù)算季節(jié)之前進(jìn)行，這樣CIO和CISO就可以相應(yīng)地制定計劃。他說，如果發(fā)生任何影響業(yè)務(wù)的重大事件，也需要在這些時間段進(jìn)行對話。例如，如果一個企業(yè)打算出售一個部門或收購另一個企業(yè)，CIO和CFO有信托義務(wù)重新評估客戶在企業(yè)的IT系統(tǒng)不可用時將面臨的財務(wù)損失。

關(guān)鍵詞：