埃森哲的新研究发现,有一半的企业为新员工提供网络安全培训,只有40%的首席信息安全官优先考虑建立或扩展内部威胁计划。
超过一半的企业将其网络安全投资完全基于当今已知的风险和安全需求。专家表示,这对于抵御现代网络攻击来说是一个很好的举动,但对于即将发生的网络攻击无济于事。
想要完全抵御这些未来威胁的企业需要让安全影响整个组织,并停止让首席信息安全官及其团队在企业孤岛中运营。
在埃森哲一篇名为《保护当今企业安全——2018》的报告中,研究人员表示:“如今的公司正在以过时、落后的战斗计划同网络威胁宣战。”该研究调查了包括首席信息安全官在内的1,400名高层管理人员,了解当前和未来的网络风险,以及公司正在采取哪些措施来应对他们知道会发生的网络攻击。
考虑内部威胁。恶意内部人员对企业安全构成了越来越大的风险,但只有40%的专家表示要优先考虑建立或扩展内部威胁计划。埃森哲董事总经理兼安全全球负责人Kelly Bissell表示,首席信息安全官和首席高管在信息安全方面齐心协力,势在必行。
“[他们]可以比以前更快地看到组织中发生的不良事件......从检测到根除的时间越来越短,”他解释说,并补充道,“对于许多人来说,这个时间框架已经从几个月到几天不等。”
在大多数企业中,安全性是一个专门用于保护核心IT系统和数据的独立功能。研究人员说,安全策略更侧重于检测威胁和减少损害,而不是通过设计使产品和过程更加安全。
Bissell继续说道:“未来的首席信息安全官需要具备商业头脑,他们应该知道企业如何赚钱,知道企业、以及第三方的“黄金宝藏”所在的位置,并且要知道他们最大的客户是谁。”
处于孤岛危险中的首席信息安全官
埃森哲报道称,大多数公司的监管、组织和管理都不是为了应对未来的安全风险。安全由首席信息安全官和安全团队负责,企业领导者很少被要求在产品设计中添加安全性或对网络安全负责。
只有22%的受访专家表示,业务部门负责人要对安全负责。在实施新的安全方法之前,大约40%的安全团队不会与业务负责人商讨他们的目标。有时候是因为安全团队认为他们知道答案,Bissell说道。有时是因为安全员工属于IT部门,政治上与业务部门分离,他说这仍然相当普遍。
“如果他们与业务部门没有很好地合作,他们可能并不总是对如何解决问题有共同的愿景,而这正是他们必须达到的目标。”他强调说。
Bissell说,安全和业务团队之间的关系不佳会导致更糟糕的行为。当犯错误时,他们会避而不谈,或者拒绝上报。当问题发生时,两个团队就会互相指责。积极的关系使事情变得更容易,但两个团队必须做出贡献。
“称职的首席信息安全官会和部门管理人员共事,并且会一起加入审计委员会来共同解决问题,”他解释道:“好的合作关系是至关重要的,这是一个双向道路。”为了能够打好关系,共同工作,安全团队应该积极地交流、了解业务目标,反之亦然。
摧毁孤岛,构建桥梁
Bissell表示,将安全性从安全孤岛中解脱出来的一个重要步骤是将安全员工纳入到业务部门。虽然这对大公司来说比小公司更可行,但它可以帮助两个团队更好地相互理解。
未来的安全专业人员需要在技术专业知识的基础上,掌握业务风险技能和顾问技能,这一策略可以帮助他们了解如何更好地保护业务。一些领先的首席信息安全官会招聘曾经是抵押贷款处理人或保险理赔员的安全员工,因为他们有业务背景。
“这确实可以帮助缩短业务运作方式和风险的学习曲线。”他解释道。
对安全专家来说,了解业务也很重要,这样他们就可以为每个业务部门提供量身定制的知识培训。Bissell表示,例如,金融专家接受有关电汇欺诈和其他特定于金融的网络风险的教育,企业运营也是如此。
“定期了解该特定业务部门的安全风险是关键,”他补充说,“这就是为什么安全团队对于以非常深入的方式理解业务至关重要。”
编 译:信软网
閱讀更多 信軟網 的文章
