在去年的RSA会议上,我是“安全度量:重要的是什么?”其中一个参与者是我的朋友,Firemon的总裁Jody Brazil。杨晨引用一个费雷蒙与波耐蒙研究所合作的新调查关于安全性度量以及安全性团队和执行人员之间的交互。
上周刚刚公布了完整的调查结果。在没有涉及应该测量什么指标和应该报告什么指标的情况下,调查显示了一些关于安全管理员和执行团队如何交互(或者至少他们如何看待彼此如何交互)或者他们如何不交互的惊人发现。
首先是关于该组织的安全态势有多强的分歧。安全专家认为66%的主管认为他们的组织非常强大或者远远高于平均水平。与此同时,只有大约39%的安全专家认为他们的组织非常强大或远远超过平均水平。
根据这项研究,这指出了向执行团队报告的实际安全态势的失败。波耐蒙报告说,这就是为什么安全部门没有得到做得更好所需要的资源的原因,也就是说,做预算决策的高管认为安全已经是一种优势。就我个人而言,我认为任何可以用来证明更多安全预算的东西都会被安全团队迅速抓住。
在探究为什么高管们对公司的真实安全态势没有一个现实的观点时,受访者列举了五个得分都超过50%的因素作为回答。
有趣的是,超过70%的人认为沟通水平太低(我假设是在执行层面)。这是否意味着高层管理人员没有参与?其次最受欢迎的选择——只有在发生事故时才进行通信——是一个经典问题,而且不仅仅是在安全方面。关于信息太技术化和负面事实被过滤的两个常见答案是我反复听到的两个。
许多安全专家告诉我,他们必须“简化”安全度量,以便执行人员能够理解它们。其他人则表示,任何技术信息都只是让高管们无法集中注意力。我的问题是,有些事情是重要的,不能被降低到二年级的水平。我们需要传达真实的画面,这可能需要一点领域智能。这就是为什么你需要一个安全人员在行政室。然而,即使在今天,大多数组织仍然没有CISO或同等级别的人员作为其执行团队的一部分。
过滤掉负面事实是另一项主要内容。没有人想成为坏消息的传播者,尽管长期以来安全团队一直这样做。结果,安全部门得到了“小鸡”的名声,总是大喊天要塌下来了。过了一会儿,我们从小鸡变成了“喊狼来了的男孩”,没有人注意。这在调查答案中得到了证实。
但对我来说,最令人惊讶的反应是在执行团队与安全团队会面时:
超过50%的受访者表示,他们只在出现严重风险时才会与高管会面,或者根本不与他们沟通。这太可怕了。更可怕的是,只有13%的组织定期安排会议。
报告的其余部分充满了更多伟大的信息和见解。我有幸与Firemon公司的Jody Brazil和营销副总裁Jerry Skurla就这项调查进行了交谈。Firemon致力于为组织提供主动的安全情报。Firemon团队花费了大量的时间和精力来决定针对不同受众的正确信息是什么。Jody说,总的来说,问题在于我们在定义什么度量标准是真正重要的方面做得很糟糕。这是一个必须回答的门槛问题,然后我们才能解决如何最好地向高管传达信息的问题。
在安全团队弄清楚哪些信息是重要的,然后解决如何最好地向执行团队展示这些信息之前,我们注定要重复过去的许多失败。那太糟糕了。为了我们所有人的利益,让我们希望我们能尽快开始回答这些问题。