考慮到《網絡安全框架2.0》(CSF 2.0)在治理和與董事會溝通方面的變化,Sullivan認為責任不會止步于首席信息安全官(CISO),而很可能會向上延伸至CEO。
在他的文章中,Sullivan敦促CEO們為CISO提供更多資源來完成他們的工作,但如果他指的是增加資金來購買更多的安全控制措施,這可能會讓CEO們難以接受。網絡安全預算增長一貫超過一般IT支出。雖然由于經濟問題,2022年和2023年的網絡安全預算增長有所放緩,但最近對CISO的調查報告顯示,企業在網絡安全方面的支出仍然強勁增長。
CISO們知道他們擁有的安全控制措施多到難以管理:工具過多和工具癱瘓是已知的缺陷——新增的網絡安全控制措施并不是問題所在。
四個關鍵步驟:發言時間、指標、實習和過程監控
如果不是需要更多資金來新增或擴展控制措施,那么CEO們可以給CISO提供什么來降低風險并最終加強CEO自身面臨的法律責任呢?
與董事會更多的溝通時間
大多數董事會仍然缺乏對當今網絡安全團隊所面臨挑戰的背景和理解。
部分原因是簡單的缺乏接觸。盡管越來越多的監管機構——包括美國證券交易委員會(SEC)、聯邦貿易委員會(FTC)和網絡安全與基礎設施安全局(CISA)——已要求公開注冊實體進行嚴格的披露和網絡安全規劃,但只有少數公開公司在其董事會中設有技術委員會,更不用說定期進行網絡安全對話以探討威脅和風險了。
另一個原因是將網絡安全審計置于總法律顧問或首席財務官辦公室下。無論如何,在每次董事會會議中撥出30分鐘與公司CISO討論網絡安全挑戰,將有助于他們建立必要的政治資本,使網絡安全成為董事會層面的關注點。
在季度報告中發布一套共享指標
任何不認為網絡安全是公司財務健康的重大問題的CEO都沒有真正關注這個問題。
公開交易的保險巨頭的子公司Change Healthcare在一次勒索軟件攻擊后,其藥房驗證和支付系統癱瘓,面臨可能高達十億美元的事件恢復費用。由于依賴該服務的醫療保健機構和醫院所遭受的損失,Change Healthcare可能還面臨數十億美元的法律賠償。2017年,由于一個未修補的軟件組件導致的漏洞,使信用報告機構Equifax損失超過十億美元,包括法律費用、增加的客戶服務和事件響應費用。
CEO們應該表現出他們對網絡安全的重視,并在公司報告中增加指標,以表明這是一個重要的關注點。對于CISO來說,與CEO達成一套指標協議將提供一個明確的方向,并推動資源和人力的對齊,以確保指標繼續向正確的方向發展。
網絡安全實習計劃以引進初級工程師
盡管網絡安全團隊部署了大量技術,但推動真正進展的還是人力。
網絡安全專業人員的短缺正在惡化。根據ISC2的數據,全球缺少近400萬所需的網絡安全專家。盡管如此,2023年的網絡安全隊伍增加了近10%。
在競爭激烈的就業市場中,發布新的招聘信息已經不夠了。越來越多的科技公司,如IBM,正在創建實習管道,從社區大學或不知名大學招募和培訓初級工程師。雖然這種方法需要更多的基礎設施、可行的課程以及一些耐心,但它可以產生更強大的員工管道,使他們在對所保護系統有先前知識的情況下直接進入工作。
持續的安全流程映射和監控
雖然人力在加強網絡安全方面至關重要,但人類也往往是網絡安全鏈中最薄弱的一環。
絕大多數重大漏洞和攻擊都涉及人為錯誤。大多數CISO都會進行紅隊演習,使用滲透測試或攻擊模擬服務或工具,并采取其他措施來測試事件響應。網絡取證工具可以幫助繪制攻擊鏈,詳細的根本原因分析可以指出特定演習中的具體失敗,但CISO缺乏對事件響應的持續分析,往往只關注最嚴重的漏洞,即使這些漏洞可能只是由于先前的“流程債務”導致網絡團隊無意間留下風險漏洞。
由于網絡安全互動和流程的復雜性以及事件響應的不可預測性,映射安全流程可能具有挑戰性。話雖如此,對CISO提起的案件都圍繞著欺詐和欺騙的指控。在沒有系統自動捕獲安全流程和人類行為的情況下,這樣的指控更難以辯護,從而消除了“意圖”的灰色地帶。新解決方案可以將流程映射和監控應用于安全工作流程,確保最佳實踐的可見性和執行。
結論:與CISO的合作至關重要
嚴肅對待網絡安全的CEO必須優先考慮與CISO的合作,并將他們納入定期會議的輪換中。隨著AI帶來許多新風險,增加工具預算可能是必要的,但這既不是充分的也不是最重要的一步。
CISO需要更好的人力和更好的流程來履行保持企業安全的承諾。監管機構不僅關注能力,還關注作為最佳努力證據的意圖和流程。指標是一個明確的方向,但可視化和改進由工程師執行的流程同樣重要。隨著更多CISO面臨指控,CEO應該擔心他們可能是下一個,并開始思考如何更好地保護他們的網絡資產和網絡團隊。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號