每年,企业战略集团(ESG)都会和信息系统安全协会(ISSA)就网络安全人员的思维模式进行一项研究。去年的研究中,受访者被要求指出自家企业未来一年内会采取什么动作来改善网络安全。根据调查数据,我们可以归纳出CISO的建议偏向。
不过,CISO也应该有业务目标。比如,应从安全动作与数字化转型等业务项目的贴合度来衡量CISO的业绩,而不应仅仅根据事件检测/响应或按进度部署了新的多因子身份验证(MFA)来衡量。
也就是说,当前太多公司的网络安全流程都是低效、无记录和不正式的。没有什么比解决了安全过程的正规化问题更能提升安全生产力和员工士气的了。
很多CISO的理想模式是将安全专业知识嵌入到IT领域中。更多培训就是通往这个方向的坚实步伐。
因为很多代码都只关注增加功能和快速成型,容易导致软件漏洞和高成本,而更多监管与测试可以带来更好的安全与更低的成本。DevOps与安全的结合有助于情况的改善。
虽说大家表面上都认为安全已经成为了“董事会会议讨论议题”,但很多CISO还是感觉自己被当成了虽然有用但很遭厌弃的存在。很明显,CISO觉得自己除了审计结果、合规报告和最新数据泄露的基本情况报告,还有很多可以说的。
这与你做什么和花多少无关,预算多总比少好。
CISO显然认为网络安全是一项团队运动,业务与IT人员可以为整体安全工作贡献更多。另外,安全不应局限在少数人掌握的高精尖技术上,而应成为可重复和可评估的过程。
2017年就网络安全人员的思维模式的报告原文:
https://research.esg-global.com/reportaction/ESGISSAREPORTCYBERPROS/Marketing?SearchTerms=issa