調查|業務高管與IT安全人員眼中的優先順序
能否將安全策略和業務實踐相協調,通常被視為衡量企業成功與否的關鍵因素。不過想要實現這一點,必須要做到在企業安全團隊瞭解業務的同時,也讓企業業務負責人瞭解安全需求。
Varonis公司針對來自美國、英國、法國和德國的345名C級高管和IT/網路安全專業人員(大致分為業務組和IT/安全組)進行了一項調查,結果發現這種網路安全和業務實踐之間的協調已經取得了明顯的進展,但是一些細節表明兩組間仍然存在觀點分歧。
例如,當詢問“哪些型別的資料最需要獲得保護”時,兩組給出的答案均是第一為“客戶或患者的資料”,第二為智慧財產權;但是他們卻在第三優先事項上產生了分歧:業務組認為“員工資料”應該排在第三位,而安全組則表示“財務資料”應該處於第三優先順序的位置。
然而究其原因,這種分歧主要來自資料洩露可能會對企業造成影響的考慮,其中安全組最擔心的是企業品牌形象受損,而業務組最關心的則是IT恢復成本。
其實,在進行此次調查之前,我們可能會認為非IT/安全人員會更關心企業品牌形象,而不是IT恢復成本,但事實卻正好相反。安全專家最關心的是品牌認知度和智慧財產權的安全性;而非IT/安全C級高管則更傾向於關注企業IT恢復成本方面的問題。
這些資料表明, 業務和IT/安全仍未實現完全意義上的協調一致,甚至會出現令人意想不到的意識決策 。造成這種現象的原因很簡單:相比網路安全,業務領導者更為了解業務,因此他們會更擔心不能完全理解的部分(即網路安全);而相比業務,企業IT/安全人員也更為了解網路安全,因此他們會更擔心業務部門的內容。
簡單來說就是,業務部門因為不能完全理解網路安全,而更傾向於擔心網路安全方面的問題,因此他們更關注企業IT恢復成本,而不是我們最初以為的企業品牌形象;安全部門同樣如此,因為擔心不瞭解的業務部分,所以更傾向於關注品牌形象和智慧財產權,而不是企業IT恢復成本。
或者,IT/安全部門可能仍然無法找到向業務負責人報告的最佳指標。他們習慣用專業術語和一大串資料來描述網路安全形勢。無論是滲漏還是竊取資料規模,亦或是勒索軟體以及其他拒絕服務式攻擊,他們都會將其訴諸於冗長的資料報告。
IT/安全人員自然能夠通過這些指標瞭解資料問題的規模和嚴重程度,但業務領導者只是意識到:我們生活在一個日益危險的互聯世界中,任何人(只要他們想要)都能夠侵入你的網路,任何地方無論如何防禦部署都能被惡意行為者破壞。單就資料而言,他們需要解決的問題規模已經遠大於以往。據調查顯示,大多數公司今年的資料規模已經比去年增加了 30%-50% ,而且這種增長速度並沒有放緩的趨勢。
此外,需要保護的資料性質也在發生變化。幾年前,大多數敏感資料還都儲存在結構化資料庫中,並且企業各部門也已經很好地理解了保護資料的需要和具體方法。
然而,隨著歐盟《通用資料保護條例》(GDPR)的正式實施,資料隱私問題也變得更為敏感。如今,大多數敏感資料開始被儲存在非結構化檔案和文件中。今年早些時候,據Varonis《2018年全球資料風險報告》顯示: 41% 的公司擁有超過 1,000 個敏感檔案,且向每個可以訪問網路的人公開; 58% 的公司有超過 100,000 個資料夾,且向所有人公開。
IT和安全團隊需要增加預算來解決日益嚴峻的安全問題,因此他們的報告更傾向於反映出這些問題。然而,他們也並沒有那麼擔心,因為他們看到企業的安全狀況有所改善。Varonis的資料正好證實了這一點:91%的IT/安全團隊認為,他們的組織在安全方面取得了進展,而只有69%的業務負責人看著了這一進展。
安全專家指出,機器學習技術能夠更好地幫助首席資訊保安官(CISO)提升企業安全性,IT/安全團隊自然也是看到了這一點。但是,業務部門往往會糾結於新生事物所帶來的雙面影響,因而可能會忽略這一點。
IT/安全和業務負責人間的意見分歧,可能會導致難以提供有關機器學習防禦效果的有效性指標。這一點也在Varonis的調查結果中得到了證實:當被問及“組織是否能夠量化網路安全措施的影響”時,88%的IT/安全團隊給出了肯定的答案;而只有68%的業務團隊給出了肯定的答案。
不幸的是,Varonis調查的其他資料也表明,安全和業務部門之間仍存在根本分歧:96%的IT / 安全團隊認為他們的安全規劃方法與組織的風險和目標一致,但只有73%的業務領導者表示贊同。
也許,最值得關注的回覆來自有關“業務部門是否能夠真正地傾聽IT/安全部門”的問題。當被問及“業務領導是否依據IT/安全團隊給出的意見/指導行事”時,94%的IT/安全團隊給出了肯定回覆,而只有76%的業務團隊表示認同。
此次Varonis調查顯示,業務與IT/安全團隊間仍然存在根本分歧,但有時候表現得並不明顯。這可能是因為業務領導者仍然不瞭解網路安全,並且只是簡單地對更多預算的要求置若罔聞;同樣地,IT/安全團隊也可能無法找到業務人員可以理解的正確指標,這可能反過來降低了技術變革的速度。IT/安全團隊正在尋求以更快地速度引入機器學習等新技術,卻無法提供有關這些技術性能的有效指標,以便讓業務部門切實地看到這些新技術帶來的效果,並以此尋求更多的安全預算。
Varonis公司調查研究地址:
ofollow,noindex" href="https://blog.varonis.com/do-executives-cybersecurity-pros-agree-cyber-threats/">https://blog.varonis.com/do-executives-cybersecurity-pros-agree-cyber-threats/