本文来自 企业网D1net公众号
网络安全文化落后于应有的水平,CISO急于推动改进,但前提是高管和公司董事会同意。
培育强大的网络安全文化被业内人士视为创建强大而健康的安全计划的基本要素,然而,TechTarget的企业战略小组和信息系统安全协会(ISSA)最近的研究发现,许多CISO认为,公司在其组织内建立适当的网络安全文化方面还有很长的路要走。
究竟什么是网络安全文化?欧洲联盟网络和信息安全局(ENISA)提供了以下定义:
“网络安全文化(CSC)的概念是指人们关于网络安全的知识、信念、感知、态度、假设、规范和价值观,以及它们如何体现在人们使用信息技术的行为中。CSC涵盖了熟悉的主题,包括网络安全意识和信息安全框架,但在范围和应用方面都更广泛,致力于将信息安全考虑作为员工工作、习惯和行为的组成部分,并将其嵌入到他们的日常行动中。”
换句话说,网络安全文化促进网络安全成为实现组织总体使命的必要组成部分。事实上,研究显示,CISO认为网络安全文化与威胁预防、检测和响应方面的安全最佳实践有着不可阻挡的联系。当被问及如何从整体上改进组织的网络安全计划时,60%的受访CISO表示,他们应该努力在整个组织内创建更好的网络安全文化,而其他受访者中这一比例为42%。
值得注意的是,CISO还认为,通过让高管和董事会更多地参与网络安全决策和监督,增加网络安全预算,以及改善安全卫生和态势管理-所有这些都是强大的网络安全文化的组成部分,他们的网络安全计划可以得到改善。
大多数CISO认为需要改善网络安全文化
这些数据还指向了未来的工作。虽然超过三分之一(36%)的CISO将其组织的网络安全文化评价为先进(略高于所有其他受访者),但34%的CISO认为其网络安全文化水平为平均水平。令人担忧的是,30%的受访者几乎没有这么积极,他们将组织的网络安全文化评为公平或糟糕。
鉴于网络安全文化的重要性,数据似乎表明首席信息官与其他企业高管之间存在脱节。不幸的是,这似乎是CISO的一种职业危险。当被问及他们是否曾在故意忽视安全最佳实践或合规要求的组织工作时,超过三分之二(68%)的CISO回答说他们至少为一个这样的组织工作过,而所有其他受访者的这一比例为57%。
CISO希望企业高管和他们自己的团队在网络安全方面发挥更大的领导作用
作为调查的一部分,受访者被要求就他们的组织如何改善他们的网络安全文化提出建议。虽然CISO的建议通常与其他网络安全专业人员相似,但CISO的回应在某些领域很突出。例如,CISO希望安全团队参与所有业务规划,以便他们可以构建威胁模型并实施正确的控制,他们还希望业务经理对其业务部门内的网络安全承担更多责任,使他们在安全团队的支持下成为伪业务信息安全官(BISO),这可能有点技能限制,但可以肯定地说,CISO希望与业务经理达成妥协,使特定的业务流程与正确的风险缓解、网络防御和监控监督保持一致。
总体而言,CISO建议组织的其他成员,特别是高管和董事会,更加认真地对待网络安全。值得注意的是,CISO并不是简单地将文化缺陷归咎于他人。事实上,40%的受访者希望提高员工与公司董事会在指导这些变革方面的参与度。仅此一点就说明了CISO对其使命的献身精神。
显然,网络安全文化有赖于企业高管的强有力领导。不幸的是,数据表明,CISO和公司董事会之间的关系是复杂的。当被问及如何描述他们与董事会的工作关系时,40%的CISO说一般或差——这是一种有害和危险的情况。为了纠正这一点,60%的CISO建议增加CISO与执行管理层和公司董事会的参与,包括参与所有业务规划和战略。
企业战略组织和ISSA的研究揭示了两个相反和令人担忧的情况:
1.信息和通信技术组织认为,强大的网络安全文化是一种最佳做法,可以极大地帮助他们完成及时、有效地预防、发现和应对网络威胁的任务。
2.许多组织的网络安全文化滞后于它应该(和需要)的水平。
虽然CISO似乎已经准备好充当变革推动者,但他们可能会在推动这一事业方面获得一些外部帮助。SEC最新的网络安全风险管理规则、纽约州金融服务部规则(23 NYCRR 500)以及欧盟即将发布的NIS2指令等新法规对企业提出了额外的网络安全要求,包括董事会/高管的责任和网络安全文化要求。
可以肯定的是,在持续的网络威胁、经济损失和这些新法规之间,许多企业将把改善网络安全文化作为2024年及以后的优先事项。