這篇是由Jonathan Fischbein所寫、2024年5月30日在Forbes刊出的"Bridging Cybersecurity Expectations And Reality To Empower CISOs"。也是面對資安長角色變化、筋疲力盡等的主題。
傳統網路安全的界線已經幾乎轉變。網路攻擊者知道可能性在哪。每個員工與其用來連接公司資源的所有軟體及裝置,都是潛在入侵點。
因此網路安全已進入長字輩主管、董事會的議程裡。Gartner預測,到2026年,70%的公司董事會將至少會有一位成員具備網路安全專長。同一份報告也預測在2024年,隱私監管會成熟到涵蓋大部分客戶資料的程度。與此同時,不到10%的組織才發展出夠強的網路安全措施,以脫穎而出。
資安長(最新的長字輩主管成員)的出現,是認識到網路安全對現代組織之整體成功、以及其任務所需專業知識的重要性。企業領導人開始瞭解到網路安全的重要性,但留住資安長仍是一大挑戰。
很多資安長呼籲要落實「成熟的網路安全計畫」,而非眾多點狀的方案。然而,同一份報告顯示,近三分之一的受調查資安長考慮離職。最常見的原因就是,工作與生活無法長久平衡,而且花太多時間「當救火隊」,而非從事更策略性的事務。根據安全服務供應商Coalfire,資安長平均任期是24至48個月。
網路安全需要公司最高層之積極規劃,在很多情況下,甚至需要做更多。持續性是發展經驗的重點:這樣才能因應動態、不斷變化的威脅環境創造和調整。網路安全的重要部分就是持續的改變管理。
監管、攻擊面、司法判例、揭露規定以及其他要素,都在持續改變,需要持續發展知識及策略,才能系統性地處理改變。
引發資安長流動的原因之一,就是花太多時間在當救火隊。換言之,資安長的定位一直都是回應網路事故,沒有時間以策略角度採取主動措施。
當然,更資源可協助這一點。比如,聘僱合格的人進入安全團隊,可確保讓做好準備的專家分擔責任。當然,這個方法效果有限,而考慮到網路安全技能落差、以及聘僱有才能者的好處,這是組織很快可做的一件事。
AI為基礎的網路安全方案,是可以提升目前團隊的一種力量,而很多資安長已經掌握類似技術。當期待和達成之間不一致仍造成筋疲力盡之際,可以採取什麼措施讓資安長更策略性地行事呢?
整合(consolidation)可提高你網路環境的能見度,以及有更集中的機制處理網路安全資訊。要準備好安全整合,可以考慮以下幾個步驟:
1.對網路系統、資產與公司資料採用全面性清單,以便在負責企業營運時能作正確的風險評估(而非虛空中的軟體)。
2.辨識核心安全需求,並將這些需求和現有安全架構進行比對,以辨識出缺陷、重複及盲點。在與營運安全主管合作時,以便瞭解工作流程中的關鍵摩擦點。
3.找到整合多個點狀產品的平台供應商,並以需求說明書和其他機制與他們互動。
作者相信,對於希望成功留住、賦權資安長的組織而言,整合性平台是普遍的起點。相對於盲目地救火、使用不同的工具與流程,他們如此就能採取積極、防範性為主的方法。
藉此,組織可發展持續、體制的知識與策略性展望,而這對管理不斷變化經營局勢,同時也強化網路安全準備度,而積極面對現代威脅環境,是相當重要的。
沒有留言:
張貼留言