调查|业务高管与IT安全人员眼中的优先级

作者:Jasmine, 星期三, 九月 26, 2018
来源:https://www.aqniu.com/industry/39152.html

能否将安全策略和业务实践相协调,通常被视为衡量企业成功与否的关键因素。不过想要实现这一点,必须要做到在企业安全团队了解业务的同时,也让企业业务负责人了解安全需求。

Varonis公司针对来自美国、英国、法国和德国的345名C级高管和IT/网络安全专业人员(大致分为业务组和IT/安全组)进行了一项调查,结果发现这种网络安全和业务实践之间的协调已经取得了明显的进展,但是一些细节表明两组间仍然存在观点分歧。

例如,当询问“哪些类型的数据最需要获得保护”时,两组给出的答案均是第一为“客户或患者的数据”,第二为知识产权;但是他们却在第三优先事项上产生了分歧:业务组认为“员工数据”应该排在第三位,而安全组则表示“财务数据”应该处于第三优先级的位置。

然而究其原因,这种分歧主要来自数据泄露可能会对企业造成影响的考虑,其中安全组最担心的是企业品牌形象受损,而业务组最关心的则是IT恢复成本。

其实,在进行此次调查之前,我们可能会认为非IT/安全人员会更关心企业品牌形象,而不是IT恢复成本,但事实却正好相反。安全专家最关心的是品牌认知度和知识产权的安全性;而非IT/安全C级高管则更倾向于关注企业IT恢复成本方面的问题。

这些数据表明,业务和IT/安全仍未实现完全意义上的协调一致,甚至会出现令人意想不到的意识决策。造成这种现象的原因很简单:相比网络安全,业务领导者更为了解业务,因此他们会更担心不能完全理解的部分(即网络安全);而相比业务,企业IT/安全人员也更为了解网络安全,因此他们会更担心业务部门的内容。

简单来说就是,业务部门因为不能完全理解网络安全,而更倾向于担心网络安全方面的问题,因此他们更关注企业IT恢复成本,而不是我们最初以为的企业品牌形象;安全部门同样如此,因为担心不了解的业务部分,所以更倾向于关注品牌形象和知识产权,而不是企业IT恢复成本。

或者,IT/安全部门可能仍然无法找到向业务负责人报告的最佳指标。他们习惯用专业术语和一大串数据来描述网络安全形势。无论是渗漏还是窃取数据规模,亦或是勒索软件以及其他拒绝服务式攻击,他们都会将其诉诸于冗长的数据报告。

IT/安全人员自然能够通过这些指标了解数据问题的规模和严重程度,但业务领导者只是意识到:我们生活在一个日益危险的互联世界中,任何人(只要他们想要)都能够侵入你的网络,任何地方无论如何防御部署都能被恶意行为者破坏。单就数据而言,他们需要解决的问题规模已经远大于以往。据调查显示,大多数公司今年的数据规模已经比去年增加了30%-50%,而且这种增长速度并没有放缓的趋势。

此外,需要保护的数据性质也在发生变化。几年前,大多数敏感数据还都存储在结构化数据库中,并且企业各部门也已经很好地理解了保护数据的需要和具体方法。

然而,随着欧盟《通用数据保护条例》(GDPR)的正式实施,数据隐私问题也变得更为敏感。如今,大多数敏感数据开始被存储在非结构化文件和文档中。今年早些时候,据Varonis《2018年全球数据风险报告》显示:41%的公司拥有超过1,000个敏感文件,且向每个可以访问网络的人公开;58%的公司有超过100,000个文件夹,且向所有人公开。

IT和安全团队需要增加预算来解决日益严峻的安全问题,因此他们的报告更倾向于反映出这些问题。然而,他们也并没有那么担心,因为他们看到企业的安全状况有所改善。Varonis的数据正好证实了这一点:91%的IT/安全团队认为,他们的组织在安全方面取得了进展,而只有69%的业务负责人看着了这一进展。

安全专家指出,机器学习技术能够更好地帮助首席信息安全官(CISO)提升企业安全性,IT/安全团队自然也是看到了这一点。但是,业务部门往往会纠结于新生事物所带来的双面影响,因而可能会忽略这一点。

IT/安全和业务负责人间的意见分歧,可能会导致难以提供有关机器学习防御效果的有效性指标。这一点也在Varonis的调查结果中得到了证实:当被问及“组织是否能够量化网络安全措施的影响”时,88%的IT/安全团队给出了肯定的答案;而只有68%的业务团队给出了肯定的答案。

不幸的是,Varonis调查的其他数据也表明,安全和业务部门之间仍存在根本分歧:96%的IT / 安全团队认为他们的安全规划方法与组织的风险和目标一致,但只有73%的业务领导者表示赞同。

也许,最值得关注的回复来自有关“业务部门是否能够真正地倾听IT/安全部门”的问题。当被问及“业务领导是否依据IT/安全团队给出的意见/指导行事”时,94%的IT/安全团队给出了肯定回复,而只有76%的业务团队表示认同。

此次Varonis调查显示,业务与IT/安全团队间仍然存在根本分歧,但有时候表现得并不明显。这可能是因为业务领导者仍然不了解网络安全,并且只是简单地对更多预算的要求置若罔闻;同样地,IT/安全团队也可能无法找到业务人员可以理解的正确指标,这可能反过来降低了技术变革的速度。IT/安全团队正在寻求以更快地速度引入机器学习等新技术,却无法提供有关这些技术性能的有效指标,以便让业务部门切实地看到这些新技术带来的效果,并以此寻求更多的安全预算。

Varonis公司调查研究地址:

https://blog.varonis.com/do-executives-cybersecurity-pros-agree-cyber-threats/

Varonis《2018年全球数据风险报告》原文地址:

https://www.securityweek.com/companies-have-little-control-over-user-accounts-and-sensitive-files-study

相关阅读

GDPR为提升整体安全和优化业务过程带来机会

网络风险=业务风险 “基于业务的CISO”时代正在到来!