传统智慧告诉我们,组织承诺对安全实践很重要. 意义, 对于一个组织建立和维护一个健壮的安全状态, 组织需要有COBIT所说的正确的“高层基调”——在这种情况下, 安全保障:产生和促进安全的人.
这可能是一个显而易见的真理,但ISACA的第二部分 2020年网络安全状况报告 揭示了新的曙光. 很多人都会记得, 在过去的几年里,ISACA从两个“领域”的角度提出了年度网络安全状况:领域一(在报告的第一部分中概述)从资源的角度概述了行业的状况, 强调员工的发展趋势, 预算, 技能, 组织和领域二(在报告的第2部分中概述)侧重于威胁形势, 对策, 以及组织中使用的实践.
两者都很有趣, 当然, 但今年,有关这两个“领域”如何相互关联的新见解浮出水面——尤其是, 安全团队的人员配置和组织如何影响结果. 我认为有两个数据点很有必要引起你们的注意,因为它们可以教给我们一个重要的教训,这个教训有时很容易被忽视,也很难用经验来证明.
的见解
我要提请大家注意的第一个观察结果来自于对人员配备挑战的影响的观察. 具体来说,当组织不能或不雇用合适的安全人员时会发生什么? 当人员配置面临挑战时,安全计划的性能会在某种程度上下降,这是有道理的. 毕竟,这适用于我们承担的任何其他任务. 例如, 如果我想烤面包,却没有加入足够的关键原料, 我一定会以不太理想的结果告终.
因此,在存在明显的人员配备挑战的组织中,结果不太理想也就不足为奇了. 事实上,我们可以在数据中看到相关性. 今年, 调查数据显示,组织遭受的攻击数量似乎与招聘能力下降有关. Organizations that took longer to hire had more attacks than those that didn’t; those that took the least time to hire had the fewest attacks, 而那些无法填补空缺职位的人占所有群体的比例最高.
我想让你们注意的第二个观点是报告结构对项目的影响——具体来说, 在组织中,安全功能报告与组织中安全有效性的信心相关的位置. 最自信的组织是那些将安全职能报告给一个专门的个人的组织:CISO. 其他模型, 例如, 安全部门在哪里向首席财务官汇报, 首席信息官, 董事会, 甚至是CEO, 相对于那些已经降低了信心的安全报告来说, 管理层的位置.
问责和承诺
这是两个有趣的见解,但也有一些需要注意的地方. 首先,它们似乎是相互关联的, 但我们不知道两者之间是否存在因果关系. 人们很容易陷入逻辑谬误,从相关性中假设因果关系(Cum hoc ergo proper hoc”). 这可能是直接的因果关系,也可能是某种第三因素(报告中未测量)导致了相关性.
第二个警告是,其机制尚不清楚, 意义, 数据并没有告诉我们这些相关性存在的原因. 以人员配置为例, 无法雇佣员工可能会增加控制失败的可能性, 或者,减少的工作人员可能会让漏洞以更快的速度出现. 它甚至可能以与我们想象的相反的方式起作用. 例如, 可能是人员配置方面的挑战倾向于采用自动化方法来完成安全任务(包括监控)。, 这反过来又使某些攻击更加明显. 这可能吗?? No. 但这是有可能的,而且由于我们不知道其机制是什么,我们不能排除这种可能性.
尽管有这些警告,但这些数据是分析和假设的有用出发点. 特别是, 我认为它们很有趣,可以提醒我们一些我们一直都知道的事情,但有时很容易被忽视, 问责制和组织对安全的承诺,正如我一开始提到的).
以第一个数据点为例:招聘挑战. 是什么导致了这些挑战? 在很多组织中,我认为这是组织承诺. 为了演示, 作为一个思想实验, 考虑一下,如果你支付的薪水是行业平均水平的10倍,并派出一支人力资源专家团队积极招聘,那么要填补一个空缺的安全职位会有多困难. 除非出现异常情况, 很有可能你很快就能填满它, 正确的? 因此, 换句话说,招聘能力在某种程度上可能代表了这些职位的优先级, 它们与组织承诺有关.
同样,安全功能报告可以作为责任的代理. 在所有其他报告结构中,调查询问了(1).e. 安全报告分为CEO、首席信息官、CFO、董事会),组织在某种程度上是明确承诺的. 但只有一种情况下, 负责任的, 首席执行官致力于安全:首席信息安全官报告结构. 在这种情况下, 你有专人负责确保安全任务的完成——你让他们的全部注意力都集中在这一点上.
所有这一切的重点是问责制和组织承诺对安全很重要. 根据传统智慧,我们认为这是真的, 我认为,通过今年的调查,我们有了经验证据. 在未来几年的调查中,需要更多的检查来确定它(并且可能涉及问一些额外的问题)。, 但与此同时, 对于我们来说,它可以是足够的材料来自我检查,以确保我们的组织有适当的承诺,并为安全分配一个负责任的所有者.
