2020年5月11日,
2020年5月11日,
贡献:梅根·Rimol
首席信息官和CISOs必须执行决策者改变组织中的网络安全是如何对待和驾驶安全投资,直接影响业务的结果。
网络安全一直在董事会议程了至少十年,但是最近的冠状病毒爆发了关注之间的脱节执行网络安全的理解和他们的组织的实际能力。
下载路线图:网络安全
”的故事,我们看到在COVID-19爆发的最新例子突显出失败的网络安全方法,许多组织,”说保罗•普洛克特尊敬的副总裁分析师,Gartner。“虽然高管关注的是确保合规和停止黑客,简单的像启用安全远程访问技术的机会——一个更大的业务影响,被忽略了。现在,组织正在努力迎头赶上。”
这些错过机会发现在冠状病毒爆发只是最近的例子之间的脱节安全和业务成果往往是低估了。组织应该把重点放在创造足够的、合理的、一致的业务上下文和有效控制。
阅读更多:7在COVID-19安全领域关注
COVID-19断开应该为cio创建一个警钟,CISOs,高管的关键需要解决网络安全业务上下文和业务决策。但领导人可以构建一个执行官叙事改变网络安全是如何对待他们的组织。
许多组织采取无效的网络安全方法。这些失败的方法导致错误的决定和不良投资。这里有四个关键的挑战,限制网络安全的业务影响。
这导致缺乏参与的高管,徒劳的交流和不切实际的期望。最终,它会导致错误的决定和坏的网络安全的投资。
问题像“我应该花多少钱在网络安全吗?”或者“我如何遵守规定?”并不能反映组织的级别的保护。这些错误的问题驱动的注意力从改进的重点和更好的投资。
阅读更多:5安全问题你的董事会将不可避免地问
组织的重点是新方法,伟大的承诺,但是通过设定预期执行失败和糟糕,这些投资只是推迟将更好的提高网络安全的活动。例如,许多公司利用量化存在风险和安全的钱(是500万美元或5000万美元的风险风险?)和损伤的可能性(百分比攻击的概率是多少?)。
然而,这些计算通常是基于假设和“专家意见”,本质上决定结果,而不是真正的量化业务评估。使用量化的外衣,得到你想要的不支持改善网络安全。
例如,医疗监控设备制造商忽略网络安全发展的网络产品,以降低成本和加快生产时间。基础软件充满了漏洞,一旦发现,网络罪犯利用了设备部署ransomware。这使设备无法使用医疗专业人士和创建了一个关键的短缺高峰期间所需要的。
这种脱节行政决策和有效的网络安全应鼓励业务和安全领导人将注意力集中在方法问题的新方法。
创建一个业务上下文在网络安全,首先确定您的组织的业务上下文。每个组织都有预算和成本,想要的结果,支持业务流程、收入来源和客户。这些组件提供了关键技术依赖项。理解组织的最重要的流程和业务成果,并确定技术如何映射回他们。
然后,使用业务上下文作为指导,转向一个以成果为推动力的网络安全方法。以成果为推动力的方法是一个管理过程,重点和投资决定基于他们的直接影响在业务环境保护水平。这种方法可以帮助组织了解组织的保护,而不是它是如何保护。
例如,一个组织可以管理ransomware风险通过测量操作结果的主要控制用于解决ransomware:备份和恢复,业务连续性和钓鱼的培训。如果这些工具交付成果准备地址ransomware满足涉众的期望,它创建一个持续投资的业务上下文。高管们可以参与相关决策多少ransomware保护组织希望和愿意支付多少。
以成果为推动力的方法创建一个全新的镜头为非it高管和其他利益相关者消费业务上下文信息网络安全问题。优先级和投资可以调整平衡需要预防需要运行业务。
加入你的同行在Gartner会议上公布的最新见解。
Gartner的客户推荐资源*:
将网络安全作为一个商业决定的紧迫性由保罗学监。
*请注意,某些文件可能不会Gartner提供给所有客户。