根據最新研究,用于支持技術升級、安全培訓和業務舉措的安全預算不足,會對企業造成不成比例的影響,使企業更易受到攻擊。
由Splunk委托的一項針對歐洲、美國、澳大利亞和日本600名CISO的調查發現,董事會和安全領導者之間存在語言和優先級上的差距。CISO們面臨著控制支出和外包職能的壓力,同時還需要證明安全舉措的業務價值。
這家思科旗下的安全可視化公司進行的調查發現,在某些領域削減開支——如員工培訓和技術升級延期——比其他領域更容易導致重大安全事件。
這些來自同行調查的見解可以幫助CISO們在反對董事會提出的預算削減時,構建更有說服力的風險導向型論點——或者在最壞的情況下,當面臨預算限制時,為自己的投資決策提供依據。
技術升級延期
隨著網絡威脅以前所未有的速度演變,推遲必要的技術升級會對企業造成嚴重影響。最新的技術更新旨在增強企業的安全功能,并直接應對最近發現的挑戰。
“舊系統缺乏允許更先進功能的新特性和功能,比如遷移到云端,”Splunk發言人Kirsty Paine告訴記者,“沒有更新的安全功能,將信息遷移到云端可能會留下漏洞。”
推遲技術升級還會使企業依賴過時的傳統系統,從而增加安全債務。
CISO們報告稱,推遲升級是最常見的成本削減措施,結果有62%的時間會導致數據泄露。
安全培訓縮減
當預算被削減時,許多企業會感受到縮減或完全取消培訓項目的壓力,導致員工無法識別潛在威脅。
這通常成為一個問題,因為人為錯誤——如軟件或基礎架構配置錯誤——經常導致停機時間和業務收入損失。此外,削減安全意識培訓會導致整個企業形成松散的安全文化。
“安全培訓對于減少人為錯誤、讓員工識別釣魚攻擊至關重要,因此通過取消培訓,企業更容易遭受攻擊,”Splunk的Paine說。
超過三分之一(36%)的CISO表示由于預算限制而削減了培訓,其中45%因此遭遇了成功攻擊。
不支持業務舉措
安全團隊往往沒有獲得足夠的人員、時間或其他資源來支持公司的發展或增長,導致安全能力與它們本應保護的業務舉措之間存在不匹配。
這通常發生在為了迅速推進而采取的數字化舉措中,例如最近爭相采用AI,這導致許多企業跳過傳統的安全加固措施,轉而追求快速勝利和廣泛實驗。
“業務舉措可能是新產品或功能,或是不同的工作方式(如居家辦公),”Splunk的Paine解釋說,“無論舉措是什么,如果沒有安全支持,這些舉措通常是在沒有考慮安全的情況下設計的。”
Paine補充道:“眾所周知,‘事后添加安全’的方法比‘設計時考慮安全’的方法更糟糕。”
根據調查,只有少數CISO(18%)獲得的資金支持不足以支持業務舉措,但其中近三分之二(64%)因此遭遇了數據泄露。
溝通脫節
Splunk的研究報告《CISO報告》揭示了CISO和董事會之間在安全資金方面的脫節,41%的董事會認為他們的安全預算足夠,而只有29%的CISO持相同看法。
“這種差異通常源于董事會將安全預算視為戰術問題,而沒有考慮其對業務的更廣泛影響,”Paine說,“為了改變這種觀點,CISO們必須用業務成果來解釋他們工作的價值,比如他們正在保護的收入和品牌聲譽。”
董事會保護盈利能力,而CISO專注于保護數據和系統。為了彌合這一差距,董事會成員和CISO需要確定對各自利益相關者而言近乎同等重要的領域,Splunk建議。
“例如,CISO們不應該專注于平均修復時間(MTTR),而應該優先考慮降低風險,并向董事會傳達降低導致更高投資回報率的風險的重要性,這是他們更熟悉的術語,”Paine總結道。
了解如何說服董事會批準安全資金是CISO們必須掌握的一項技能。同樣重要的是確保雙方對期望相互尊重,從而在董事會和CISO之間建立雙向溝通渠道。
證明安全支出的合理性
記者采訪的獨立專家同意報告得出的結論,即適當的資金對于網絡安全至關重要。面臨縮減安全支出或培訓壓力的首席安全官需要據理力爭,用業務(而非技術)術語來證明安全支出承諾的合理性。
Trend Micro英國網絡安全總監Jonathan Lee表示,企業仍然經常將安全支出視為可以削減以追求利潤的成本,而不是支持增長的投資。
“企業對威脅的攻擊做出反應是不可接受的,”Lee認為,“只有大約三分之一的企業有具備網絡安全知識的董事會成員,是時候消除高層普遍存在的樂觀偏見,用顯著減少導致首次被攻擊的漏洞的安全措施來從戰略上支撐企業的目標。”
漏洞眾包平臺Bugcrowd美洲區的CISO Trey Ford承認,嚴峻的經濟形勢意味著預算緊張,但認為削減安全支出來支持之前已同意的項目將是危險的。
“預算削減影響安全規劃、戰略和運營的各個方面——這些都是與風險委員會保持一致,在整個企業中精心策劃的復雜體系,”Ford告訴記者。
對于運營安全團隊來說,人員編制凍結不僅僅是令人沮喪,它會加速警報疲勞、值班輪換和倦怠。工具和項目的資金流失可能會加劇可見性差距——限制日志覆蓋范圍、監控和警報,或系統和應用程序中漏洞的測試和跟蹤。
“失去資金的安全舉措很少屬于‘可有可無’的類別——它們幾乎總是與風險委員會優先處理的風險項目和控制差距有關,”Ford說,“正在處理的風險和被取消資金的項目將需要重新接受風險評估,并可能需要向董事會的風險委員會報告。”
就風險達成共識并溝通
應用安全測試供應商Immuniweb的CEO Ilia Kolochenko認為,安全領導者需要制定連貫的網絡安全戰略。
“許多企業傾向于擁有來自不同供應商的重疊且因此冗余的解決方案,同時分配很少或沒有時間來妥善處理安全警報和事件響應,”Kolochenko說。
“更糟糕的是,只有令人擔憂的一小部分企業擁有定義明確、長期導向和全面的網絡安全戰略,該戰略將涵蓋第三方風險管理、配置錯誤、多云環境中身份和訪問管理(IAM)的漏洞、容器安全或新興的AI風險等關鍵領域,包括軟件工程師過度依賴AI機器人生成的合成代碼,而這些代碼經常包含漏洞甚至后門程序,”Kolochenko說。
CISO和董事會需要協調他們的優先級,并就一種溝通方式達成一致,通過這種方式可以不斷理解、闡述和緩解網絡風險。
“這將有助于確保決策和投資是在充分了解的基礎上做出的,”Lee說,“這應該能夠使預算花在正確的領域,從而確保遵守法規要求,并使服務持續運行。”
身份安全供應商One Identity的現場戰略師Alan Radford認為,培訓、系統更新、災難恢復規劃、事件響應和合規性監控等基礎要素對于保持強大的安全態勢至關重要。
“業務驅動型網絡安全并非購買最昂貴的工具,而是將技術、流程和人員結合起來,以有效降低風險,”Radford告訴記者,“安全領導者必須向董事會傳達,風險降低不僅僅關乎工具,還關乎運營韌性。投資于人員、培訓和運營準備工作的回報高于任何單項技術采購。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號