危機過后確保網絡安全的4種方法
行業專家指出,企業高管和董事會成員在面臨安全威脅時需要將更多的精力放在網絡安全上。首席信息安全官(CISO)需要通過SolarWinds安全事件這樣的危機將安全性轉化為業務策略。
Abacus公司首席信息安全官Bill Brown指出,像SolarWinds這樣引人注目的網絡安全漏洞事件應該引起企業高管和董事會成員的關注。他曾擔任三家公司的信息安全負責人,他表示任何公司的企業高管通常在聽說出現最新的安全漏洞后,都會打電話給他以尋求安全保證。他們會說,“這種事件會發生在我們公司嗎?我們應該如何應對?”
他說,但是現在許多董事會成員對此無動于衷。
SANS研究所新興安全趨勢負責人John Pescatore表示,雖然SolarWinds安全漏洞事件成為了頭條新聞,但需要考慮對企業業務帶來的其他影響,例如冠狀病毒疫情。他說,“對企業董事會來說,網絡安全是他們承擔責任所涉及的眾多風險之一,而對于大多數公司而言,這并不是最大的風險。”
在Trend Micro公司和Enterprise Strategy集團最近進行的一項調查中,約有85%的安全負責人表示,與兩年前相比,企業董事會在安全決策和戰略方面的參與度更高。但是,由于重大泄露事件、新的合規性要求或業務信息安全官(BISO)的安全計劃,這些高管才會關注。
該報告建議,企業需要增加業務信息安全官(BISO)的職位以改善業務安全一致性,其職責是建立自上而下的可衡量項目,并更改報告結構,以便首席信息安全官(CISO)直接向企業首席執行官報告。歸根結底,首席信息安全官(CISO)有責任與企業高管和董事會建立密切關系,并與他們進行定期對話。
為了保持發展勢頭,首席信息安全官(CISO)必須以業務術語提供穩定的信息流,并以風險和網絡安全戰略的形式(不僅是技術解決方案)讓企業董事會保持關注。安全主管和分析師提供了一些技巧、工具和框架,以幫助將安全性轉化為策略并確保網絡安全。
1. 與商業模式相匹配
SANS公司安全意識總監Lance Spitzner說,“首席信息安全官(CISO)必須具有周全的策略,并且有戰略業務工具才能做到這一點。”SANS公司為安全領導者提供了為期五天的類似“MBA”課程,以了解企業高管和董事會用來衡量風險和制定策略的業務模型和框架。首席信息安全官(CISO)可以研究PEST模型、SWOT分析、平衡計分卡,或如何將能力成熟度模型集成(CMMI)模型與NIST網絡安全框架相結合,以向企業董事會成員傳達其不同戰略安全計劃的成熟度。
Spitzner指出,首席信息安全官(CISO)不必了解所有這些模型,只需了解對企業董事會至關重要的模型即可。他們需要與企業董事會成員交談,并詢問他們在董事會會議中使用哪種類型的模型。
一些行業特定的安全框架也促進了企業董事會的討論。 Abacus公司最近完成了HITRUST認證,這是醫療保健領域的一個通用安全框架,處理受保護的健康信息的組織經常需要此框架。Brown表示,這些認證使企業的安全活動更加結構化,其中包括與董事會成員溝通方面的要求。其中一些控制措施包括與執行團隊進行定期對話,討論他們在保護資產方面的角色以及業務合作伙伴的角色,其責任與首席信息安全官(CISO)相同。
數據可視化工具還可以幫助首席信息安全官(CISO)更好地將網絡數據轉化為業務影響。Brown為Abacus公司創建了一個季度熱圖圖表,該圖表使用顏色表示表中的數據值,從綠色的低概率、低影響問題到紅色的高概率、高影響問題。數據值顯示了已確定的潛在風險,在Abacus公司發生的每種可能性以及發生的影響,其中包括對客戶、對業務的看法以及與供應商和合作伙伴的關系的影響。他的團隊定期監視和更新此數據。
Brown說:“企業董事會期待看到自從上個季度以來熱圖的變化。如果某個事件具有高潛力、高影響力,可以討論安全團隊正在做些什么,以使它們的可能性或影響力降低。”
2. 以競爭對手為基準進行衡量
Pescatore說,企業董事們和高管們希望首席信息安全官以競爭對手為基準衡量自己的工作,這類似于首席財務官和首席運營官向企業董事會展示的內容。他說:“企業董事會成員希望聽到,在安全計劃或保護供應鏈方面,是比競爭對手更差還是更好?但通常很難做到這一點。”他指出,但是有很多資源可以提供幫助。美國信息共享和分析中心委員會是一個針對特定行業的組織,主要負責收集和共享有關對關鍵基礎設施的網絡威脅的信息。
美國信息共享和分析中心(ISAC)還促進了公共部門和私營部門團體之間的數據共享。該中心列出了24個行業作為參與成員,其中包括醫療保健、零售、酒店、金融服務、媒體以及石油和天然氣。Pescatore說:“人們有能力團結起來應對這種情況,只是沒有被充分放大。”
3. 利用立法的推動
SolarWinds對美國政府機構的攻擊使新的行政管理著眼于強化美國的網絡安全防御。美國聯邦隱私立法的要求也在不斷提高,近年來提出的一些法案可能最終會受到關注。這是一個熱門話題,美國國會需要對新的聯邦法律可以取代已經生效的州立法達成共識。
例如,《加利福尼亞州隱私權和執行法》(CPRA)于去年11月通過,將于2023年1月1日全面生效。該法律要求該州總收入超過2500萬美元的企業必須提供合理的網絡安全保護措施,提交年度網絡安全審核,向新成立的加利福尼亞隱私保護局提交風險評估的監管文件,并要求合同條款和其他保護措施來解決供應鏈安全和隱私風險。美國其他八個州也有類似版本的隱私法規。
分析師表示,首席信息安全官(CISO)應將其關注點放在新法規上,以分享積極的網絡安全措施和投資如何使企業達到合規性。
4. 建立良好的人際關系
分析師指出,首席信息安全官(CISO)不僅需要隨時征求信息請求或召開季度會議,還需要與高管和董事會建立和培養關系。《全球CISO的戰略與策略和領導力》一書的作者Michael Oberlaender表示:“應該始終保持開放的溝通,而不僅僅是在重大危機期間,這是核心問題,否則安全就會被忽視。”
Brown說,“建設良好的人際關系可以獲得盟友的幫助。一旦發生不幸的事情,那么已經擁有了這種關系,所有人可以一起解決問題而不是相互指責。”
