一、研究背景
为了追求数字化,特别是随着对客户价值和授权的高度关注,更多的应用程序和数字服务正在进行创新,并考虑到与客户的数字互动,例如,医疗保健领域的远程保健和远程咨询。根据HIMSS在2020年对美国医疗机构中167名合格的安全专业人员进行的调查,18%的受访者表示,网络安全预算在其组织中占当前IT预算的1-2%。尽管网络安全很重要,但它占整个年度IT预算的6%或更少,而且这一比例多年来一般没有变化。
与此同时,网络安全漏洞的性质多年来发生了变化,网络钓鱼攻击构成了最大的网络安全威胁。
随着组织(例如,医疗保健机构)通过鼓励各种功能单位提出和构思用例(例如,提供更高的流程效率,提高客户价值)来准备实现数字化,网络安全的考虑已被视为基础设施和最高管理问题。在启动数字化项目(即用例生成、资金请求和实施)时,员工对网络安全的一些观点:
”遵守网络安全和数据隐私规则……如果传统上实施,可能需要一个月或几个月才能完成[数字化项目]。“
”IT和网络安全应该帮助[数字化项目]更快地完成,而不是减慢他们。”
”网络安全被认为是整体IT基础设施成本……“
”我们与公司合作[供应商],他们将借给我们设备一年或两年进行研究。永远不要讨论网络安全…也许以后我们会购买机器。”
二、对让数字化项目的提出者在用例生成过程中认真考虑网络安全的措施的讨论
从上面的样本摘录中,我们可以看到,数字化项目的提议者,特别是来自功能部门的提议者,并不太重视网络安全。
在我们深入研究在解决方案开发的早期阶段提高网络安全的所有权和重点的建议措施之前,我们需要了解为什么网络安全对功能单元来说是一个遥远的话题。从参考资料和我自己的经验来看,功能单位往往对网络安全有一些共同的假设和信念,这在它们和网络安全之间创造了一个距离。解决这些基本信念将使职能单位改变他们的心态,真诚地给予网络安全应有的重要性。我们将分析其中的一些假设和信念,并提出一些措施。
假设#1:网络安全是一个复杂的话题,只有网络安全团队能够理解。
一般来说,网络安全主题似乎是高度复杂和技术性的。尽管这种信念在一定程度上是正确的,但由于网络安全团队的大量缩略词和技术术语(例如Zero-Day-Vulnerability, Advanced Persistent Threats, DDoS等),情况往往变得更糟,使得功能团队一无所知。功能单元不容易理解其项目系统设计中规定的专门工具和软件的工作原则。因此,职能团队仍然远离网络安全问题。虽然职能团队经常被要求对其系统进行网络风险评估,但由于他们认为的无能,他们将风险评估留给系统供应商。因此,职能团队不会投资于网络安全的第一步——风险识别。早期风险识别在许多方面都是必要的,并将在进一步的段落中加以阐述。
假设#2:首席信息安全官(CISO) 和网络安全团队可以全面应对所有的威胁。
职能团队认为,首席信息安全官(CISO) 及其网络安全团队的职责是识别和解决所有的网络风险和威胁。事实上,网络安全团队并没有识别所有可能的风险的功能经验。他们将能够确定最好的工具和防御系统,以应对他们所知道的风险。网络安全团队经常进行风险景观扫描,以识别组织系统中最常见的风险和威胁,以制定政策来充分保护这些系统。这可能会欺骗职能团队,让他们认为网络安全团队知道一切。职能团队需要知道,他们在早期风险识别中发挥着关键作用。此外,网络安全的问责制也偏离了功能单位。根据高德纳公司最近的一份调查报告,CISO/CIO或其同等的人员将对此负责85%的受访组织的网络安全(高德纳调查发现,88%的董事会认为网络安全是一种商业风险)。只有10%的组织要求对非it高级管理人员负责。因此,很自然地,网络风险将不会被职能团队“拥有”,他们的高级管理层也将不会有重视网络安全的既得利益。
假设#3:网络安全是昂贵的,并增加了成本效益比。
管理数字化项目的职能团队努力降低成本和高价值,以获得管理层的支持,并轻松加快项目批准。该政策要求网络安全工具和服务经常增加项目成本,但没有任何价值。因此,网络安全被视为该项目不必要的包袱。职能团队应该意识到,诸如数据泄露或DDoS攻击这样的网络攻击可能会破坏数字化计划的价值。在零售和医疗保健等面向消费者的行业,高调的数据泄露事件不断发生。一个很好的例子是2019年新加坡健康的数据泄露。人们越来越意识到消费者个人数据日益增长的威胁(组织网络成熟度:行业调查|麦肯锡,2021年)。因此,数字服务面临着竞争压力,以灌输消费者对其网络安全的信心。最近的报告还表明,网络成熟度与盈利能力有关。网络安全支出应考虑获得消费者信任,避免财务和声誉损害。
三、建议
1)由职能团队进行的早期风险识别。
a. 职能团队必须负责早期风险识别。
b. 风险评估应在溶解阶段进行,不应留给供应商。类似于从DevOps到DevSecOps的演变,将事后思考的网络安全补丁带到上游开发阶段,将网络风险评估带到用例生成和解决阶段是至关重要的。
2)网络安全价值评估。
a. 职能团队需要进行整体的项目价值评估,包括用例生成、解决方案开发和成本效益分析期间的网络安全,因此网络安全成本可以被视为通过避免潜在的陷阱和相关成本来增加项目的实际价值。
3)CISO是司机,而不是做司机。
a. CISO和网络团队不是应对网络风险和威胁的“军队”或“特种部队”,而是领导整个组织识别、评估和欣赏各自功能领域的风险的指挥官/顾问。CISO是将网络风险推向组织风险的驱动力,并授权企业领袖认识到并管理这种风险(Gartner,2022)。
4)将网络风险纳入商业风险分析。
a. 网络风险不应单独审查,而应作为业务风险进行审查,这些风险应由职能领域的高级管理人员拥有和管理。对他们来说,看到整个价值链并全面识别风险至关重要。这可能导致职能团队降低系统复杂性,而不是在网络安全上过度投资,以获得更具成本效益和安全的系统(网络世界网络安全的新姿态,麦肯锡,2018)。
5)简化沟通和培训。
a. 所避免的网络威胁应提交给带有价值标签的高级管理人员和功能单位。而不是说,“我们发现了10个漏洞,避免后提高了最近的漏洞评估”,团队可以说,“避免10个漏洞可能导致损失500000客户的个人数据,可能花费我们大约100万美元的经济损失和声誉损失。”这将使网络安全工作更有价值,并获得功能部门的支持。
b. 网络安全团队应简化工作原理和工具功能,使功能单位能够正确地理解和应用它们。
c. 职能团队应根据其系统和工作角色接受有针对性的培训,以考虑到以人为中心的弱点(网络钓鱼和其他社会工程攻击)是归因于网络攻击的最重要部分,以提高合规性。
四、参考资料
[1] A new posture for cybersecurity in a networked world | McKinsey. (2018, September 3).https://www.mckinsey.com/business-functions/risk-and-resilience/our-insights/a-new-posture-for-cybersecurity-in-a-networked-world
[2] Gartner Survey Finds 88% of Boards of Directors View Cybersecurity as a Business Risk. (n.d.). Gartner. Retrieved March 5, 2022, fromhttps://www.gartner.com/en/newsroom/press-releases/2021-11-18-gartner-survey-finds-88-percent-of-boards-of-directors-view-cybersecurity-as-a-business-risk
[3]Gartner: Why the cybersecurity leader’s role must evolve. (2022, March 1).https://businesschief.com/technology-and-ai/gartner-why-the-cybersecurity-leaders-role-must-evolve
