虽然这篇文章是由供应商撰写的,但它并不主张作者的雇主所特有的立场,也没有经过作者的编辑和批准有个足球雷竞技app总编辑,约翰·迪克斯。
当前的经济混战正迫使企业转型,当与日益扩大的安全威胁结合在一起时,信息安全集团有机会从根本上改变自己的身份和对企业的价值。
为了利用这一时刻,安全团队需要重新评估他们的方法,增加可视性,并改变安全的角色。
这个时机很好,因为在此期间保持了安全经济困难时期是至关重要的。除了在经济衰退中发展得更快的外部威胁外,业务衰退还增加了心怀不满的员工利用对公司系统的熟悉来罢工的可能性。
自上一场规模如此之大的经济危机以来,企业对信息技术系统的依赖程度大大提高,而信息技术系统如今高度复杂,对稳健经营至关重要,这一事实进一步加剧了风险。
您当前的安全路径表示现有的程序、功能、进程等。目标是创建影响现有实践的并行路径,并允许您在不破坏当前期望的情况下完善新策略。随着时间的推移,新的道路将成为主导力量,带你走向新的方向。
步骤1:调优方法
在过去的十年中,安全实际上是由遵从性来定义的。对许多公司来说,安全问题更重要的是确保某些监管要求得到满足。不幸的是,遵从性并不一定能够使业务与核心计划保持一致,并且单独可能无法阻止削弱能力的攻击。
认识到这一点,一些安全组织已经努力使用合规努力来改善他们的安全状况。
不幸的是,并不是所有的公司都看到了这些活动的价值,而是简单地将合规视为经营业务的成本。
您必须将属于“强制遵从”的安全实践转换为与业务产生共鸣的具体活动。例如,商业中的一种主导力量是上市时间和迅速将投资转换为创收。这可以是一种新的服务、应用、交流平台、网络或联盟。调优方法的关键是优化安全特性,以帮助业务更快地进行,减少障碍或快速适应需求。
能够做到这一点的关键是在安全组内的机构知识,利用和结合资源的方式,使业务受益,就像它对安全一样,例如:通过与开发团队协作来支持安全编码实践,优化标准构建以更快地支持服务器,将安全性测试作为性能测试的一部分,或者利用目录服务来支持新合作伙伴的访问控制的流线化。
从根本上说,这是一种风险/回报模式。根据风险以及业务的最大机会对活动进行优先排序。通过密切关注业务目标并映射风险元素,开始浮现的是一个公共主线,它展示了业务目标和安全目标变得更紧密一致的点。
一个好的开始是在项目管理领域,在那里计划或生命周期的风险将变得很明显,除了帮助识别关键路径和什么对业务单位或团队是最重要的。通过使用这种性质的信息,结合安全小组拥有的制度知识,您可以开始解释业务计划中的需求和风险,并迅速找到共同点。
步骤2:增加可见性
安全组通常通过呈现安全度量、风险指示板等,使安全工作对执行管理可见。然而,在这个过程中,许多人会遇到一些关键的挑战。
第一个挑战是度量只关注安全性,通常不提供对证明有效性的安全性操作的其他方面的见解。例如,仪表板可能显示遵从性风险、操作风险、技术风险和当前威胁。假设将值保持在最佳或期望的范围内意味着安全性正在发挥作用。
然而,公司高管越来越关注效率、有效性和业务计划的整体一致性。他们想知道这些目标是如何实现的,他们对其他关键的业务绩效指标(如上市时间、客户保留)有什么影响,以及资源和其他有价值的资产是如何被利用的。
主管们关注的是低效或浪费的活动,并希望确保所有活动都关注底线。向董事会展示一个风险仪表板可能有助于展示您对安全问题的看法,但在高管们看来,这只是等式的一部分。更有效的安全可以减少将安全结果转化为对业务有意义的东西的需求,这就更好了。
第二个挑战与“差距”因素有关。差距指的是安全性为执行人员提供的可视性和安全性组影响系统实施更改的能力之间的差异。
例如,一份报告可能表明,面向internet的应用程序中的漏洞数量每季度都在显著增加。但是,安全组可能没有能力将该数字减少到合理的值。因此,一些高级安全管理人员发现自己的任务是纠正他们根本没有能力完成的问题。
简而言之,来自安全程序的信息与其能力不一致。一些人以此为理由进行投资,以弥补差距。但不幸的是,随着企业主要求承担更多责任,这种模式正变得越来越无效。解决方案是创建一个安全程序,它不仅能显示好趋势和坏趋势,更重要的是,它有能力在改变这些趋势方面产生有意义的影响。
这些挑战可以概括为在安全术语中提供更多安全性的可见性,而且还要以一种更容易被执行人员理解并更容易与业务目标保持一致的方式进行。其次,建立一个安全程序,它不仅产生与安全和业务指标相关的有意义的信息,而且还具有内在的能力来制定变化,从而满足预期。
为现有的基于风险的观点提供额外的可见性是非常有价值的。要做到这一点,你需要更密切地了解与高管们产生共鸣的东西——他们每天关注的衡量标准,他们研究的财务指标之外的业绩指标。每家公司都不一样,每个业务部门也可能有不同的发展方向。此外,许多指标似乎与安全性相差甚远,如运输指标、仓储、容量指标、系统使用甚至协作指标。您必须查看这些问题的背后,才能开始看到安全性在哪里可以开始模仿相同的原理。
从安全的角度来看,报告您的影响范围内的区域,并帮助反映您的业务运行情况。它可以像资源利用、项目参与或你的同事的性能质量评分一样简单。
从那里,您可以开始与其他报告的信息和趋势绑定,比如执行常规漏洞测试的计划下降,但报告质量和有效性的倾斜,本质上表明您正在满足安全和业务目标。或者展示如何通过协作活动(已度量)和对技术的修改,帮助减少与安全相关的帮助台票据的数量。这些当然是非常基本的。然而,关键是要找到您为安全所做的工作与您的工作与业务预期之间的相关信息。
这种方法可以帮助您形成新的安全路径,从您最初的策略中提取并增强它们。从小处着手,试水并在组织内部寻求指导。随着对提供活动的更多观点的信心的增长,您可以着手缩小差距。
步骤3:面向服务
至此,您已经学会了如何利用风险/回报方法协调您的核心竞争力,以帮助业务实现其目标。您已经开始尝试向高管添加对齐的可见性。因此,安全的特性开始发生转变。这可能不明显,但它正在发生。然而,这是一个关键的阶段,是创新的时候。一旦高管看到他们喜欢的东西,他们就会想要更多,期望值就会提高,“好工作”就会变成“你最近为我做了什么?”
一个常见的缺陷是没有按照新的期望来确保一个基金会的存在。结果,大面积的地面消失了,你又回到了起点。
采用面向服务可以帮助您继续前进。面向服务有三个主要目标:
1)将曾经隐藏在法规遵循工作中的战术最佳实践转换为可以持续使用的业务服务。
缩小你能控制/影响的东西和你要报道的东西之间的差距。
3)为构建高度敏捷的安全方法创建基础。
关键是要从调优活动的实验实践中学习,并报告与业务目标相关的额外指标和指标。对于安全服务的开发,方法的调优提供了开始时需要的信息。
在最简单的定义中,安全服务是由相关流程、技术和功能组成的格式良好的包,具有业务所需或需求的可预测结果。使安全服务有别于传统安全活动的是输入。
几乎所有东西都需要输入来提供流程以产生输出。对于安全性,输入通常是“自分配的”,这意味着业务必须满足特定的策略或其他文档化的需求,以使安全性执行操作。例如,一项政策可能会这样写:“对面向internet的应用程序的任何重大更改都需要渗透测试。”这是一种合理的方法,但它是被动的,错过了获得对潜在业务需求和目标有价值的见解的机会。
在寻找风险/回报场景时,您将看到出现一种模式,上面概述的调优工作将帮助您确定将特定业务属性合并到您正在执行的操作中的机会。
安全服务的基础就是利用这种模式。事实上,在某种程度上,你今天正在做这件事。例如,一个应用程序需要进行测试,但是您已经了解到更改与系统中定义的几个角色中的一个相关。因此,您可能会将测试限制在一个领域,因为您从以前的测试中了解并熟悉该应用程序。现在,把这个推论到所有的安全问题上。它不只是简单地做您所做的事情,而更多地是为业务提供额外的机会来提供流程,以便根据业务需求细化活动(在本例中是服务)。
安全服务的下一个重要特征是如何构建人员、流程、工具、方法和技术来相对于输入和输出执行服务。说起来容易做起来难。组织倾向于将这些元素视为独立的或松散耦合的。此外,一些安全架构和框架促进了分割,使它们看起来陌生和不舒服。
一个挑战是内部开发的标准要么过于全面,要么过于细化。成功实现安全服务通常首先检查标准,并将它们视为服务的公共基础,而不是给定安全功能的特定元素。
就像所有这些性质的事情一样,缓慢而有条理的方法赢得了比赛。不要试图一夜之间创建一个服务模型。将您在调优中所学到的知识与您现在已经在做的事情结合起来(例如漏洞测试、补丁管理、身份管理、数据保护、监控),然后在友好的业务单元中尝试一种服务方法。
当这种方法开始巩固时,一些有趣的事情开始发生。安全和感知价值的认同继续朝着积极的方向转变。然而,您很快就会意识到,您有更多的能力来衡量组织的操作细节,而且更重要的是——您天生就对它们有更大的影响力。