Cisoss应该投资网络安全吗?

网络安全是一种投资,而不是费用。这对于Cisos,Manager和雇主来说至关重要,以便在谈到网络准备和在合适的时间实施正确的变化方面的预算何时了解。在快节奏,不断发展的企业网络安全世界中优先考虑费用可能很困难。

节目确定网络安全否决

在高级别,设置网络安全策略的过程必须从视图中开始,这是当前风险状态的样子。然后,我们评估对投资产生的控制/风险姿势的变化。最后,我们派生了投资后未来的状态可能看起来像什么。

风险评估执行摘要应该是您的主要帮助:

  • 攻击表面的大小。
  • 漏洞(从最大程度到最重要)。
  • 通过本组织突破的概率和影响’S各种漏洞。
  • 估计部署控制范围及对策。
  • 旨在解决差距的建议时间表以及每年进行重新评估日期。

 

让我们仔细看看一些建议的安全领袖可以采取最大化的安全投资回报:

    1. 评估风险,资产和资源

CISO或CIO应充分评估可能对本组织构成重大风险的系统,应用,数据和关键业务资产。评估需要在Ciso步脚进入C-Suite房间以支持安全性。评估的调查结果将介绍安全计划目标和预算建议。采购某些人,流程和技术。服务的需求将具体对每个业务。由行业框架提供的模型可以帮助安全领导人重塑优先事项并识别业务的差距或漏洞。

    1. 身份和访问管理策略

2017 Verizon数据泄露调查报告 发现88%的黑客相关的漏洞利用被盗或弱密码。重要的是要使IAM成为一个主要安全性的安全性,具有统一的策略,其中包括一个单一的控制策略,该策略适用于所有系统,单个用户身份,单一的参数控制访问和管理。建议采取基本步骤以确保所有门都被锁定,这包括使用多因素身份验证,使系统修补和最新,加密敏感数据和保护特权帐户。实现现代IAM工具有助于最大限度地减少攻击面,并帮助停止未经授权访问关键系统。 MFA可以消除漏洞或弱密码跨关键基础架构的漏洞。

    1. 雇用和培养好人

受到推理,安全计划中最好的投资之一是有效的工作人员。在寻求组织外的高级人员的雇主如此紧张的市场中,该组织可能在内部看,投资培训员工,否则可能没有被视为安全职业生涯。这也有助于省钱。通过培训和招募已经在本组织的一部分工作的人,Cisos可以在构建安全团队并利用员工的知识时为专业增长提供专业增长的机会。如果一个组织有资金,最好的投资将永远是雇用一个人准备积极影响,改善工作流程,安全治理,合规性,风险管理等。

    1. 投资安全文化

有效的网络安全战略必须包括员工价值和理解安全的重要性的企业文化。但是,组织继续努力与建立在内部发生的大多数事件的安全文化。这可以是网络钓鱼电子邮件,密码弱密码,在组织之外共享机密敏感信息。建立安全文化进入您的业务意味着将所有员工从安全团队中获取C-Suite,以便在公司的安全和风险姿势中投入投资。安全文化的投资可能包括尽职调查,如安全的发展生命周期计划,风险管理计划,安全意识和培训计划以及任何可以证明合规性并报告他们可能已经见证的事件的任何员工的奖励计划。

关于如何最佳分配安全预算的复杂问题没有简单的答案。它将因企业而异。本组织的关键是对本组织目前的安全态势和文化进行彻底的成熟或风险评估,并详细评估了如何实施特定人员,流程或技术可以使业务目标受益,并使公司愿景能够促使CISO如何花费和优先考虑安全投资的路线图。