调整网络安全和业务:没人说这很容易
![](http://www.yyueer.com/sites/default/files/images/articles/Forrester%20Study%20Aligning%20Cybersecurity%20and%20the%20Business%20Tenable%20Blog%201.jpg)
这个坏消息?业务和网络安全之间存在脱节。好消息吗?调整都可以有很大的改变。
如果你担任CISO,全封闭或其他网络安全领导了一段时间之后,你可能有一个首席执行官,董事会成员或其他高级主管问你"我们有多安全?“在一个相当频繁。你也知道回答这个问题并不像看起来那么容易。
在企业风险迅速变化——进入大流行,经济衰退和远程工作,网络攻击和威胁全球蓬勃发展不仅每个风险放大,他们提升网络安全董事会层面关注的一个话题。然而,我们这些在前线应对一系列挑战很难提供我们的商业领袖清楚我们的组织的网络安全态势。
着眼于提供一些关键的挑战和帮助安全领导人开始有意义的对话框与商业同行,站得住脚的Forrester咨询委托开展的一项在线调查416安全与425企业高管和结果检查网络安全策略的研究和实践在中型到大型企业。由此产生的研究中,的崛起与业务一致的安全执行,揭示了脱节的期望业务和安全领导人面临的现实。但它也揭示了也许数字企业如今面临的最大机遇——提升CISO的角色平等地位和其他高管的角色。
未来属于网络安全与业务一致的领袖
这项研究揭示了四个关键主题:
网络安全威胁茁壮成长在一个气候的不确定性,这使得一个话题值得董事会层面的可见性。绝大多数的组织(94%)经历了business-impacting1网络攻击或妥协在过去的12个月。大约三分之二(65%)说,这些攻击操作技术(OT)的资产。
商业领袖们想要一个明确的组织的网络安全态势,但安全同行难以提供一个。四的安全领导人说他们可以回答这个问题,“我们是安全,或面临风险,如何?“高水平的信心。
有一个在企业如何理解和管理网络断开的风险。只有不到50%的安全领导框架的上下文中网络安全威胁的影响特定的业务风险。只有一半的安全领导人(51%)说,他们的安全组织与业务涉众一致成本,性能和降低风险目标与业务需求。只有四个10安全领导人(43%)报告他们定期审查安全组织与业务涉众的性能指标。
网络安全需要进化作为一种商业策略。这是不可能发生,直到安全领导人有更好的可见性攻击表面。超过一半的安全领导人报告,他们的安全组织的整体理解和评估组织的整个攻击表面和不到50%的安全组织正在使用上下文威胁指标来衡量他们组织的网络风险。这意味着他们的能力来分析网络风险和优先级和执行基于业务临界和威胁环境修复是有限的。
研究表明,当安全和商业领袖是一致公认的商业风险数据,他们提供重要的可论证的结果。与业务一致的安全领导八倍更孤立的同行高度自信的能力报告他们组织的安全级别或风险。更明显的在今天的经济气候,与全球经济低迷导致组织重新评估他们的支出:85%与业务一致的安全领导人指标跟踪网络安全ROI和对企业绩效的影响只有25%的更多的被动和孤立的同行。
丹·鲍登CISO Sentara医疗,指出采访中站得住脚的去年:“在今天的气候,有这么多的重点从社会对公司做更好的风险管理,每一个领导团队和董事会在每一个组织想要解决问题的故事的一部分。如果你能给他们好的资料曝光,我们真的需要做的事情,他们理解的数据,与数据。他们想成为故事的一部分,以帮助您解决问题,更好地管理风险。”
为了实现对齐,CISOs和其他安全与风险管理的领导人需要正确的组合技术、数据、流程和人。例如,绝大多数(80%)与业务一致的组织有一个业务信息安全官(双)或类似的标题,相比之下,只有35%的less-aligned同行。研究还显示,与业务一致的安全领导人超越更多的被动和孤立的同行在自动化关键漏洞评估流程+ 49 + 66的利润率。
1“Business-impacting”与网络攻击或妥协,导致失去客户,员工,或其他机密数据;中断的日常运作;ransomware支付;经济损失或盗窃;和/或知识产权盗窃。
读博客系列:如何成为一个网络安全与业务一致的领导者
博客在本系列关注调整网络安全和业务的挑战和为什么网络安全领导人努力回答“我们是安全,或面临风险,如何?”。我们还研究了什么COVID-19反应策略揭示business-cyber断开讨论为什么现有的网络安全指标达不到当交流网络风险,探索五个步骤实现与业务对齐并提供一个视图生命中的一天与业务一致的网络安全领袖。
了解更多
相关文章
- 报告
- 研究报告
- 威胁情报