2020年5月11日
2020年5月11日
贡献者:Meghan Rimol
首席信息官(cio)和首席信息官(CISOs)必须让执行决策者参与进来,以改变组织内对待网络安全的方式,推动直接影响业务成果的安全投资。
网络安全已经被提上董事会议程至少十年了,但最近的冠状病毒爆发突显了高管对网络安全的理解与他们组织的实际能力之间的脱节。
下载IT路线图:网络安全
“我们在COVID-19疫情期间看到的故事是突显许多组织在网络安全方面采取的失败方法的最新例子,”他说保罗•普洛克特, Gartner杰出副总裁分析师。当高管们专注于确保合规和阻止黑客时,像启用安全远程访问技术这样具有更大商业影响的简单机会被忽视了。现在,各大机构都在争相追赶。”
在冠状病毒爆发期间发现的这些错失的机会只是安全与商业成果之间的脱节经常被低估的最新例子。组织应该专注于在业务环境中创建充分、合理、一致和有效的控制。
COVID-19的中断应该为cio、ciso和IT高管敲响警钟,让他们认识到在业务环境中解决网络安全问题并将其作为业务决策的迫切需要。但IT领导者可以建立一种高管叙事,以改变他们的组织如何对待网络安全。
许多组织对网络安全采取了无效的方法。这些失败的方法导致了糟糕的决策和糟糕的投资。以下是限制网络安全对商业影响的四个关键挑战。
这导致与高管缺乏接触,交流效率低下,期望不切实际。最终,它会导致糟糕的决策和糟糕的网络安全投资。
问题比如“我应该在网络安全上花多少钱?”或者“我怎样才能遵守规定?”这些都不能反映出组织的保护水平。这些错位的问题将注意力从改善优先事项和更好的投资上转移开。
阅读更多:董事会不可避免会问的5个安全问题
各组织都专注于有很大希望的新方法,但由于执行失败和预期设定不佳,这些投资只是拖延了能够更好地改善网络安全的活动。例如,许多公司使用量化来表示资金方面的风险和安全性(这是500万美元的风险还是5000万美元的风险?)和损害的可能性(被黑客攻击的概率是多少?)
然而,这些计算通常是基于假设和“专家意见”,而不是真正的量化业务评估。用量化的表象来得到你想要的东西并不支持改进网络安全。
例如,一家医疗监控设备制造商在开发其联网产品时,为了削减成本和加快生产时间,忽略了网络安全。这些基础软件漏洞百出,一旦被发现,网络犯罪分子就会利用这些设备部署勒索软件。这使得医疗专业人员无法使用这些设备,并在需求高峰期造成严重短缺。
行政决策和有效的网络安全之间的脱节应该鼓励商业和安全领导者将注意力集中在解决问题的新方法上。
要围绕网络安全创建业务环境,首先要确定组织的业务环境。每个组织都有预算和成本、期望的结果和支持的业务流程、收入来源和客户。每个组件都具有关键的技术依赖关系。理解组织最重要的过程和业务结果,并确定技术如何映射回它们。
然后,以业务环境为指导,转向结果驱动的网络安全方法。结果驱动方法是一种治理过程,其中优先级和投资是根据它们在业务上下文中对保护级别的直接影响来确定的。这种方法帮助组织了解组织是如何被保护的,而不仅仅是它是如何被保护的。
例如,一个组织可以通过测量用于应对勒索软件的主要控制的操作结果来管理勒索软件风险:备份和恢复,业务连续性还有钓鱼训练。如果这些工具交付的结果符合涉众对准备好应对勒索软件的期望,就为持续投资创造了一个业务环境。然后,高管可以参与与组织需要多少勒索软件保护以及愿意支付多少相关的决策。
结果驱动的方法为非it主管和其他利益相关者在业务环境中使用关于网络安全问题的信息创造了一个全新的视角。可以调整优先级和投资,以平衡保护需求和经营业务的需求。
加入您的同行,在高德纳会议上揭开最新的见解。
为Gartner客户推荐的资源*:
将网络安全视为商业决策的紧迫性保罗·普罗科特著。
*注意,有些文档可能不是所有Gartner客户都可以使用的。