安全和风险管理(Security and Risk Management,SRM)正成为企业CSO的一项重要工作,通过一系列制度、组织、工具等的有机结合,帮助组织识别、评估并减轻可能存在的风险隐患,旨在降低网络攻击以及内部威胁的可能性和影响。因此,SRM理应成为一个持续的、常态化的运营管理过程,并随着企业的发展和威胁的变化而不断调整。
影响SRM的三大趋势
如今的经营环境愈发不可预测,企业自然是希望通过技术创新及数据开发利用来提升差异化竞争优势,这也会导致安全风险的不可控和加剧。Gartner的调查显示,以下影响CSO开展安全工作的趋势已经越来越明显:
越来越多的技术人员就职于非IT部门
为加速数字化进程,调查显示,67%的企业领导层希望在业务部门内完成更多的技术工作。也就是说,越来越多的业务技术人员(即IT部门之外的员工,他们不仅使用技术,而且能生产技术)将不会受到IT部门的直接管理。
第三方安全风险的关注度逐渐增加
长期的漏洞利用、网络攻击事件凸显出软件供应链风险已成为企业的安全短板。调查表明,到2025年,60%的企业将把安全风险作为选择第三方供应商的重要因素,以防止其信息、系统和基础设施遭到破坏。
网络安全网格随组织架构进化而演变
企业内网概念几乎不复存在,端点、IT资产和员工可能处于任何位置,那么网络安全控制也应该如此。网络安全网格需要成为一个高度灵活、可协作的生态系统,由可组合的分布式工具和控件组成,可保护整个企业的资产安全。
SRM面临的挑战及应对措施
基于以上趋势变化,CSO在带领团队开展企业安全工作时,需要着重考虑:
处理好“人”的因素
大部分的数据泄露、安全风险事件仍然与人有关。调查发现,员工们会习惯性从事公认的危险安全行为,如在多个账户中使用相同的密码,或在工作设备上打开来源不明的电子邮件。为了减少人的行为对安全的负面影响,安全意识与技能培训是必不可少的,此外,CSO还需要通过开发与第三方互动有关的最佳实践来减少数字供应链风险。
后续措施参考:
在设计控制措施时考虑用户体验;
设计基于角色的网络安全学习体验;
使用以结果为导向的指标,精准确定企业的受保护程度;
当与供应链厂家接触时:识别共享的数据和基础设施的潜在安全风险,确保满足最新的监管规定,与业务部门等建立密切的伙伴关系实现联合治理,评估和实施新兴的最佳实践。
提高SRM的效率
随着安全职责的不断增加,不断评估和提高效率至关重要。目前,只有12%的SRM工作超过了业务团队等企业核心利益相关方的期望。CSO必须将网络安全的优先事项对齐业务优先事项,才能更好地推动商业价值的实现并保护企业免受威胁。
后续措施参考:
与IT部门以外的高级领导层建立合作关系;
帮助决策层了解最新的安全规范,避免未来可能出现的风险;
追踪员工表现,创造性地弥合技能差距。
推动提升网络判断能力
CSO必须拥有能够支持企业决策者做出独立且明智的风险决策的能力——即网络判断能力——而不是依赖团队或自动化工具。可以支持更多的部门开展网络安全活动,从而在整个企业内全面培养基础安全能力,使安全团队能够专注于更高价值的风险感知和响应,同时实施网络安全网格战略,加强综合系统的安全性。
后续措施参考:
通过团体信任评分来确定有能力执行网络安全活动的部门或小组;
启动网络安全网格战略:评估现有工具的成熟度,调查团队的整合能力,合理确定投资规模。
附:2023 年安全和风险管理技术采用路线图
前段时间,Gartner发布了2023 年安全和风险管理技术采用路线图,根据采用阶段、部署风险和企业价值,绘制了2022 年至 2024 年间大型全球企业中49项安全相关技术的实施情况,CSO可依此衡量评估SRM相关工作。
以下是从路线图调查数据中得出的要点分析,可为CSO开展SRM工作提供有益参考:
1、超80%的企业预计网络安全预算将在2023年增加。42 %的受访者预计其安全预算的增长速度将高于通货膨胀率,而41%的受访者表明预算将随着通货膨胀而增加,以维持同等的购买力。尽管对预算充满信心,但对技术成本的担忧尤为明显,受访者面对所测试技术的最大风险, 有82%选择了“高成本或不可预测的成本”。
2、SRM近期部署集中在应用程序和数据安全解决方案。在调查涵盖的 49 项技术中,51% 处于“部署中”,47% 处于“试验阶段”,与基础设施和边界安全技术相比,更多的应用程序和数据安全技术正在部署中,预计将在2023年被采用。
3、速度和敏捷性是技术采用的优先考虑项。在所测试技术的主要价值驱动因素中,51%的技术预计将提高业务流程的速度和敏捷性,而28%的技术预计将降低风险敞口,尤其是与终端和应用程序安全相关的技术。虽然6%的技术(即企业应用程序商店、云 WAAP 和 NDR)因其降低成本的能力而受到重视,但该价值可能受到不可预测成本风险的限制。因此,企业正在采取“观望”的方式来确定部署的价值。
4、减少云和Web应用程序攻击是数字化转型后的主要诉求。保护云上应用程序的需求愈发强烈,API安全测试工具、应用程序安全编排和关联、应用程序安全要求和威胁建模以及Web应用程序客户端保护受到较多关注,受访者表示,“降低风险敞口”是这些技术的首要价值驱动因素,这表明企业普遍对快速数字化转型带来的新网络威胁表示担忧。
5、随着生态系统的扩展和第三方提供商数量的增加,终端保护迫在眉睫。四分之三的终端保护技术目前正在部署中,受访者普遍认为,终端保护技术将通过提高速度和敏捷性来推动价值,这种新兴技术的快速部署将使最终用户能够在任何地方灵活、安全地工作,并免受勒索软件和恶意软件的威胁。
6、“供应链中断”被认为是影响采用SSE和ZTNA的关键风险因素。SSE和ZTNA都在积极试点中,全球供应链危机促使企业进一步减少对物理基础设施的依赖,基于云的安全订阅和部署形式提供了更多出路和选择。
7、关键信息基础设施安全解决方案的部署得到大力推动。57%的安全运营 (secops) 技术处于部署阶段,其中71%的技术被评为“高风险”。有趣的是,企业对网络安全网状架构表现出浓厚的兴趣,并期望尽快部署。OT安全仍处于试点阶段,存在“业务采用率低”的风险,实施OT安全对于升级遗留基础设施是必要的,但更换遗留OT系统的成本也非常高。MDR服务和ITDR也仍在试点中,但存在与其部署相关的高成本或不可预测成本的风险。
*参考资料:
Gartner安全与风险管理领导者的3大战略重点
Gartner 2023年安全和风险管理技术采用路线图
京公网安备 11010802033237号
