監管要求(如證券交易委員會的新網絡事件報告規則)和聯邦、州及國際層面的其他監管要求,已提高了對網絡事件和高管層級責任的要求。目前的勒索軟件攻擊及其他攻擊事件也表明,網絡事件會威脅公司的運營和聲譽。
無論CISO在公司層級結構中的位置如何,董事會都越來越關注網絡安全。簡而言之,董事會在涉及網絡安全風險時應向公司管理層提出的最大問題是:“我們安全嗎?”
然而,這是一個復雜的問題,簡單的“是”或“否”是不夠的,CISO需要用董事會成員能理解的語言向高層管理人員和董事會成員解釋公司安全態勢的良好之處,他們必須提供資產安全的證據,解釋如何衡量安全性,并展示公司安全態勢的演變過程。
要充分回答這個問題,CISO需要回答五個關鍵問題。董事會可能不會明確提出這些問題,但在每次會議上解決它們可以有效地傳達企業的網絡風險態勢。
1. 我們的關鍵資產安全的證據在哪里?
準備好回答這個問題是一個例子,說明預測董事會需要了解的信息如何幫助CISO提高表現。
安全領導者經常基于自己的最佳猜測做出決策。提供安全證據可能需要結合漏洞管理和暴露管理與傳統資產情報,從而為你提供關鍵資產的完整視圖。這些資產與SEC相關的業務風險有關,受支付卡行業(PCI)標準約束,包含敏感客戶數據或是供應鏈中的關鍵部分。
列出你的關鍵資產,并確定哪些沒有問題,哪些有問題,是帶到董事會的有力證據。如果安全高管想要像首席財務官(CFO)等其他高級管理人員一樣受到對待,他們必須攜帶實證證據,并基于證據做出論點。
2. 我們的關鍵資產的安全性季度同比趨勢如何?
在識別關鍵資產后,你需要展示你的安全態勢是否比上周、上個月或上季度更好,并解釋為什么更好——或者更差。在后一種情況下,如果可以證明安全不足是由于資源、人力或許可的缺乏,CISO可以提出更多資源或更大預算的請求。
無論哪種情況,隨著時間的推移跟蹤趨勢會鼓勵CISO更加戰略性地思考。
3. 你能展示我們需要在哪些方面投資以增強關鍵資產保護的指標嗎?
除了展示企業的關鍵資產并識別存在問題的資產,你還需要深入了解這些問題的原因。例如,你可以識別由于生命周期結束或缺少安全控制或補丁管理而面臨暴露的資產。
安全高管還可以展示有多少工單處于開放狀態以及解決這些工單的進度。他們還可以展示投資不足導致暴露風險的地方。
4. 支持關鍵任務操作的資產的漏洞修復時間是多久?
修復不僅僅是發現和解決問題。一個關鍵問題是:需要多長時間?企業必須為其應用程序和其他資產設定參數,確定目標修復時間。
對于某些資產,14天可能是一個合理的目標,但對于關鍵任務資產,可能需要更短的時間——四天、三天甚至更短的時間。平均修復時間(MTTR)是事件響應的重要關鍵績效指標(KPI),最終會影響公司的責任。
5. 有哪些證據表明受監管要求約束的資產符合規定?
為了提供資產符合規定的證據,像配置管理數據庫(CMDB)這樣的解決方案可以讓你標記某些資產為關鍵資產,例如運行Oracle的任何系統或云中的所有內容。將這些信息導入或在資產情報解決方案中標記它們,可以將業務上下文層疊到其他措施之上,從而提供對關鍵資產狀態的可見性。
除了標記關鍵資產外,你還可以例如在季度或財年末識別與PCI法規相關的所有關鍵資產或與金融服務相關的資產。資產情報和業務上下文標記允許CISO微調特定資產的指標,為董事會提供公司風險管理態勢的更清晰的概念。
結論
無論CISO在公司層級中的排名如何,他們在網絡安全方面都處于高壓位置。這種壓力越來越延伸到高層領導和董事會。
能夠清晰解釋公司安全態勢、其演變過程以及需要更多資源的地方的CISO,可以緩解高層對安全的擔憂,同時證明安全高管應當在高層會議中占有一席之地的理由。
企業網D1net(m.hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號