為(wèi)什麽我們認為(wèi)屬于網絡安(ān)全的時代已經過去了？

企業在網絡安(ān)全方面的投資比以往任何時候都多(duō)，但我們也看到了創紀錄的違規數量。據報道，去年有(yǒu)51億多(duō)條個人信息被盜，平均違規成本已攀升至435萬美元。

 網絡安(ān)全威脅行為(wèi)者變善良了嗎？或者這是一個商(shāng)業失敗？

 不可(kě)否認，網絡罪犯已經變得更有(yǒu)組織，更先進的工(gōng)具(jù)和戰術越來越容易使用(yòng)。但所有(yǒu)這些數十億美元沒有(yǒu)對違規數量産(chǎn)生影響的真正原因是，資金往往沒有(yǒu)以正确的方式使用(yòng)。

 有(yǒu)一個巨大的高質(zhì)量解決方案市場正在尋找解決網絡安(ān)全問題的方法，但簡單地向它們投入資金最終不會改變安(ān)全狀況。必須正确實施解決方案才能(néng)真正幫助解決問題。

 這就是安(ān)全操作(zuò)概念的由來。

 将安(ān)全性與核心業務(wù)基礎聯系起來

 每個企業都需要在幾個核心業務(wù)的基礎上取得成功。

 這包括商(shāng)業文(wén)化——将所有(yǒu)人聚集在一起并使他(tā)們願意在那裏工(gōng)作(zuò)的一套價值觀——以及每個人對自己的角色所承擔的責任。

 然後是業務(wù)運營的流程，以及支持這些流程的資源——所有(yǒu)這些都越來越容易通過自動化實現。最後，所有(yǒu)業務(wù)活動都需要産(chǎn)生可(kě)測量的輸出。

 所有(yǒu)這些結合在一起形成了組織的戰略，像一顆北極星，它賦予了組織目标并确定了其方向。

 網絡安(ān)全是一個獨特的命題，因為(wèi)它與這些核心基礎中(zhōng)的每一個業務(wù)都有(yǒu)聯系。最終，除非具(jù)備這些要素，否則任何安(ān)全戰略都不可(kě)能(néng)成功。

 使網絡安(ān)全符合業務(wù)指标

 實現網絡安(ān)全的第一步是開始像其他(tā)商(shāng)業投資一樣思考網絡安(ān)全。不幸的是，網絡消費幾乎是随機的，沒有(yǒu)目标。當然，這也意味着對績效和結果的有(yǒu)效衡量很(hěn)少。

 很(hěn)難想象其他(tā)任何商(shāng)業元素會以這種方式運作(zuò)，特别是在支出持續增長(cháng)的情況下。

想象一下，一位銷售總監要求将團隊人數增加一倍，但一年後這項投資并未帶來任何收入增長(cháng)。大多(duō)數公(gōng)司都會立即讓銷售總監離開。

 然而，在網絡安(ān)全方面，大多(duō)數公(gōng)司将繼續向新(xīn)的解決方案投入資金，而不清楚自己的安(ān)全狀況是否有(yǒu)所改善。事實上，許多(duō)組織缺乏有(yǒu)意義的指标來衡量其投資是否有(yǒu)任何回報。

 因此，衡量的指标必須是安(ān)全運作(zuò)的首要任務(wù)。實現這一目标的指标需要側重于降低風險。公(gōng)司需要有(yǒu)一個堅實的概念，知道他(tā)們在為(wèi)每一個安(ān)全元素做預算時試圖保護什麽，以及為(wèi)什麽要這樣做。

 企業需要确定哪些業務(wù)功能(néng)受到違規行為(wèi)的影響最大，以及此類事件對業務(wù)運營的影響。基于這種理(lǐ)解，企業可(kě)以逆向工(gōng)作(zuò)，構建一個安(ān)全戰略，以緩解這些高優先級風險。

 對于其他(tā)業務(wù)要素，企業知道當其運營中(zhōng)的某個要素明顯會虧損時，應調整哪些杠杆。有(yǒu)些風險可(kě)以緩解，有(yǒu)些風險可(kě)以接受，有(yǒu)些風險則可(kě)以轉移——同樣的思維過程也需要應用(yòng)于網絡安(ān)全。

企業文(wén)化和問責制是關鍵

 随着公(gōng)司對其網絡風險優先事項的認識不斷提高，他(tā)們也應該熟悉自己的成熟度水平。這不是一個單一的衡量标準，而是适用(yòng)于每一個核心基礎——企業文(wén)化、問責制、流程、資源、自動化和衡量。

企業在一個領域的網絡風險應用(yòng)可(kě)能(néng)比另一個領域更成熟。也許它已經建立了成功的自動化，但缺乏問責制。或者反之亦然。

 雖然某些業務(wù)方面更容易定義，但其他(tā)方面則更模糊。在安(ān)全方面，文(wén)化往往是一個模糊的概念，在特定的安(ān)全角色之外，問責制也往往沒有(yǒu)定義。

 這裏一個有(yǒu)用(yòng)的方法是在整個組織中(zhōng)建立與安(ān)全相關的各種角色，并為(wèi)每個角色創建一個文(wén)化記分(fēn)卡。更重要的利益相關者，如執行領導層，應該具(jù)有(yǒu)更高的成熟度水平，而對更一般的員工(gōng)來說，這并不重要。如果一個部門的成熟度和責任感明顯低于您所需的水平，那麽是時候開始實施培訓等措施來改善情況了。

 适應商(shāng)業文(wén)化從來不是一個快速解決方案，因此企業應該預計這是一個漸進的過程，至少需要12-18個月。

與此同時，企業可(kě)以開始實施可(kě)靠的指标，以有(yǒu)效跟蹤其解決方案的投資回報率（ROI）。安(ān)全關鍵績效指标（KPI）應以非技(jì )術領導層和利益相關者能(néng)夠理(lǐ)解的方式與業務(wù)影響緊密相關。

 平均分(fēn)辨時間（MTTR）是最有(yǒu)用(yòng)的例子之一。在網絡環境中(zhōng)，這意味着從識别威脅或漏洞到關閉它之間的時間。但它在其他(tā)業務(wù)問題的更廣泛背景下也得到了很(hěn)好的理(lǐ)解。

打破網絡安(ān)全支出循環

 很(hěn)明顯，面對同樣飛漲的安(ān)全風險，飛漲的網絡安(ān)全支出是不夠的。這種方法是不可(kě)持續的——特别是随着業務(wù)技(jì )術本身在過去幾年中(zhōng)随着雲遷移和遠(yuǎn)程工(gōng)作(zuò)等因素的迅速變化。

 套用(yòng)愛因斯坦的話：我們不能(néng)用(yòng)我們創造問題時使用(yòng)的那種思維來解決問題。

 企業需要後退一步，開始運營其信息安(ān)全性，而不僅僅是再增加一年的預算。是通過追蹤網絡安(ān)全與核心業務(wù)基礎的聯系，企業可(kě)以開始确保其投資在降低風險敞口方面取得了真正的成效。