玄幻小说排行榜完本,小说阅读网站

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

CISO如何通過安全路線圖說服高管

高管總想削減預算，CISO需有靈活的結(jié)構(gòu)以改進基線評估和目標、戰(zhàn)術及能力。

大多數(shù)現(xiàn)代企業(yè)都將網(wǎng)絡安全視為重中之重，這不算什么秘密。但風險管理公司Marsh最近的一份調(diào)查報告揭示，僅1/5的公司企業(yè)有工具可以管理網(wǎng)絡攻擊風險——盡管高管宣稱網(wǎng)絡攻擊是其首要風險管理關注點。

為什么認知與實際行動會倒掛?這往往是因為安全產(chǎn)品及工具似乎沒有能直接影響商業(yè)結(jié)果的投資回報(ROI)，也就讓安全人員難以在公司里倡導購置這些工具。

公司企業(yè)難以量化網(wǎng)絡安全投資價值的同時，需重點指出的是，真正的ROI來自于防護公司免遭實質(zhì)性損害。Juniper Research 的一份研究預測，到2019年，數(shù)據(jù)泄露將令公司企業(yè)損失2萬億美元以上。因此，鑒于防損和公司底線之間的直接聯(lián)系，聰明的安全在成本節(jié)約、信譽保護等方面值回票價。公司企業(yè)知道自己需要關注安全，但想要真正獲得高管支持，安全團隊需證明ROI——正確的ROI，并提供清晰的實現(xiàn)計劃。

同時，傳統(tǒng)信息安全角色不斷擴張，如今的安全角色已超出了安全運營的范圍。安全人員現(xiàn)在身兼多責，不僅僅要確保安全工具正常運轉(zhuǎn)，還需證明實現(xiàn)特定工具的需求是合理的。

面對領導層的這種新考驗，安全團隊該怎么讓高管理解應將安全從一開始就植入產(chǎn)品和過程以避免在遭遇重大安全事件之后才亡羊補牢呢?做張安全路線圖可幫助規(guī)劃說服高管掏錢所需的戰(zhàn)術性行動。

一張在CIO下創(chuàng)建靈活安全結(jié)構(gòu)的有效路線圖，有4個支柱：

安全監(jiān)管：包含企業(yè)治理和關鍵績效指標(KPI)跟蹤。
信息風險：內(nèi)部風險管理項目的設計及可持續(xù)性，可跟蹤企業(yè)整體風險和可接受較高風險水平之例外情況。
安全架構(gòu)和工程：與跟蹤并緩解風險的安全控制及工具的主動持續(xù)部署有關的內(nèi)容。
安全運營：利用以上3個支柱監(jiān)視并報告事件的運營模型。

以此為基礎，以下4步可助信息安全人員將路線圖付諸實踐。

實踐 1：評估風險、資產(chǎn)及資源

應先識別并登記最需保護的資產(chǎn)。什么東西對你的公司最為重要?你系統(tǒng)和數(shù)據(jù)面臨的最主要威脅是什么?然后你得理解這些資產(chǎn)遭遇網(wǎng)絡威脅的可能性。如果你的安全團隊人手不足，不妨在必要的時候利用其它團隊或外包出去。一旦完成評估，應選擇要遵從的安全框架來保持項目正常運行，比如美國國家標準與技術局(NIST)制定的安全框架——覆蓋了任意相關監(jiān)管要求的。

實踐 2：更新信息安全策略

要獲得高管支持，得從經(jīng)理層開始一級一級往上。更新現(xiàn)有策略并創(chuàng)建通用安全標準，可在高風險領域給他們提供指南。經(jīng)理也會受益于從風險評估到商業(yè)用于的轉(zhuǎn)譯和使用與高管層一致的標準。

實踐 3：發(fā)現(xiàn)所需的新控制并部署它們

確保記錄下每一個ID對數(shù)據(jù)的所有訪問——這需要日志管理工具或安全信息及事件管理系統(tǒng)(SIEM)。

限制特定數(shù)據(jù)只能被特定人員訪問通常是個不錯的做法。另外還應要求唯一的系統(tǒng)用戶名和口令，并清除組賬戶共享。數(shù)據(jù)防泄漏對于確保沒有敏感數(shù)據(jù)被郵出公司而言非常重要。一旦做好測試這些控制措施的準備，你應使用分階段的做法，以確保這些控制措施被集成到新基礎設施及應用部署的軟件開發(fā)生命周期中。而且，測試過程中，你不應僅注意解決方案在技術上是否有效，還應關注是否會給你的雇員或過程帶來過重負擔。

實踐 4：教育你的員工、管理層、供應商和客戶

準備好推出新策略時，你需著眼內(nèi)部及外部教育。在內(nèi)部，你應解釋員工需遵從的規(guī)則，以及不合規(guī)可能面臨的后果。定期安全培訓會促進良好安全意識的養(yǎng)成，做到“公司安全我有責”。對外，你應讓供應商和客戶都知曉你的新策略，讓他們知道合規(guī)所需要求。

雖然企業(yè)總想給預算瘦身，一張有效的路線圖是引導內(nèi)聚作用的最快方式。路線圖可使你改進基線評估和目標、戰(zhàn)術及能力。通過有效計算風險，從管理該風險的角度闡述安全產(chǎn)品的價值，以及合理化安全產(chǎn)品在預算中的位置，信息安全人員將能夠說服高管，留下預算。

Marsh報告鏈接：

https://www.marsh.com/us/insights/research/global-cyber-risk-perception-survey.html

Marsh報告下載地址：

https://www.marsh.com/content/dam/marsh/Documents/PDF/US-en/Marsh%20Microsoft%20Global%20Cyber%20Risk%20Perception%20Survey%20February%202018.pdf

【本文是專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文

當前名稱：CISO如何通過安全路線圖說服高管
網(wǎng)頁路徑：http://www.fisionsoft.com.cn/article/dpeecpp.html

新聞中心

其他資訊