技术驱动企业项目、应用和目标,安全主管也从技术人员进化到了企业高管。CISO日程表上的首要任务正在慢慢改变,因为他们的核心重点从技术专长转到了保护业务应用及过程上。

以上结论来自于Spirent委托企业战略集团(ESG)就CISO职能随网络安全状况转变问题所做的调查研究。研究人员对负责规划、实现和运营安全策略及过程的413名IT及安全人员做了问卷调查。

关注重点从技术转到了业务上。但这并不是说忽视技术,而是技术某种程度上由业务计划、业务应用、业务目标之类的引导。

约80%的专家称,安全知识、技术、运营和管理比2年前更加困难了。而这是因为恶意软件、IT项目、攻击目标和联网设备的数量和复杂度都有所增长。

几乎所有(96%)受访者都表示,CISO的角色职能在扩张,其重要性增加的主要驱动力就是不断加大的企业数据保护难度。近80%的受访者指认恶意软件是最主要的原因,还有很多人宣称80%-90%的恶意软件攻击针对单个设备,50%-60%的恶意网页活跃不足1小时。

公司企业数字化转型加快,网络攻击者也在精准探测其防御上的漏洞。这就好像是群狼撕咬。随着越来越多的人意识到业务是由技术驱动的,CISO看到的数据泄露和各种监管规定也越来越多。无论什么业务,无论何种过程,总有IT在提供支撑。

CISO逐渐参与到董事会级讨论以防止安全事件发生。

安全防御真真切切在从反应式向主动式转变。在过去,公司企业打造自身防线,期待没什么坏事发生。当安全事件真的发生,公司企业的响应组织堪称惨不忍睹,低效又迟缓。更糟的是,事件响应都是面向技术而不是面向业务的。安全团队对待入侵的态度是“我们去修复系统吧”,而不是“我们怎么恢复业务运行”。但现在,情况有了改观。

CISO的待办事项清单不断加长

CISO的职能改变程度取决于其所供职的企业规模。小公司里,CISO更多处理的是技术层面的事,大型企业中则偏重管理和决策。

在大型企业供职的CISO被纳入到董事级会议和业务规划会议中。大企业CISO更偏重业务技能而不是技术能力。

业务主管过去会向CISO咨询自己需要什么控制措施;如今他们希望安全是嵌入到业务计划和应用开发中的。运营团队、开发团队、每一个操作部分都需要安全专业技术,包括云端。

CISO还有责任将安全数据有效传达给业务人员。高层次的执行摘要能帮助董事们理解影响业务的各种威胁。

就好像面对体检报告。各种实验室检测结果一般人都看不懂,只有医生才能从那堆数据中看出更多细节并制定相应的治疗或保健方案。一份重点突出通俗易懂的健康状况摘要才是体检者需要的。这种情况也适用于CISO及其安全总结。

项目越多,问题越多

企业IT项目的增多是复杂度增加的第二大驱动力,而IoT及云相关项目令安全成为了巨大的挑战。现代企业越来越依赖移动设备和应用,数字化转型应用、IoT应用、社交媒体使用也越来越多。

业务过程和倡议比之前快了许多,公司企业纷纷采用敏捷方法构建并执行项目计划。应用开发从之前的6个月发布周期缩短到了一天多次更新,而这一切都会影响安全。安全团队此前几个月才做一次风险评估和控制,如今,几乎每天都来一遍。

面对新项目的时候,从一开始就介入的CISO就可以全程处理并测试项目开发过程中的安全状况。86%的受访者认为在项目计划中融入安全可以减少安全事件发生的概率,79%的受访者觉得公司企业应更频繁地测试安全控制措施。

随着安全预算的持续增长(92%的受访者如此认为),公司企业也在转变安全采购方式,从终端工具迁移到更集成化的架构上。CISO逐渐意识到没有足够的人手处理手头的大量安全任务,因而专业托管服务的市场越来越大。

至于外包,电子邮件安全和网页安全这种乏味繁琐的工作首当其冲被外包出去的。但尽管这些领域最常被外包出去,启用外部公司进行威胁检测与响应的影响却有待商榷。

最终,CISO的角色可能会分裂成两种:专注企业经营的首席业务安全官;以及主抓系统安全的首席技术安全官。安全成为了风险对话的一部分,专注业务的CISO要能与风险及合规官沟通。

ESG研究报告原文:

https://www.spirent.com/~/media/Briefs/ESG-Research-Insights-Paper-Spirent-2018

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。