由应用网络安全研究所(IANS)对ISC-Squared的80名成员进行的抽样发现,组织成员在技术能力方面得分很高,但在组织参与方面得分略低。在IANS的1000个主题的更广泛样本的背后。 技术人才专注于部署的特定安全产品和服务,而组织参与是指公司为信息安全如何与业务保持一致而实施的流程。 IANS首席研究官StanDolberg和IANS首席执行官PhilGardner在最近于奥兰多举行的ISC-Squared安全会议上介绍了这些发现。 Gardner补充说,随着首席信息安全官(CISO)与企业内更多团队和部门的联系,组织参与只会变得越来越重要。 Gardner说:“我们看到间接向业务其他部门报告的现象越来越多。ISC-Squared组织中大约80%的成员都在某种程度上向IT以外的部门报告。” IANS将组织参与分为七个因素。本文列出了这七个因素,并描述了与更广泛的会员相比,ISC-Squared的会员票价如何。 第一要素:掌握事实。 通过获得对事实的控制,ISC-Squared的成员对CISO和团队的得分进行了评分:确定所使用的威胁和风险数据的种类;识别出对这些资产和流程的威胁和风险;比较风险,评估控制机制的强度;并同意高级管理层对这些评估的看法。 此外,IANS衡量CISO将该信息与公司遇到的事件数据相关联的程度,衡量他们是否对该数据建模,开发预测模型。IANS还仔细分析了公司是否验证了这些预测模型,以及他们是否开发了CISO可以用来帮助识别新业务项目的潜在风险的规划工具。 表现最好的ISC-Squared受访者在三个标准中的两个上得分低于1000名受试者的整体数据集。 第二个因素:让企业领导者对风险负责。 IANS表示,设立CISO部门是为了帮助高层管理团队管理信息安全风险。但CISO部门不能“承担”所有风险。 新业务项目带来新风险;与CISO负责所有信息安全风险相比,让业务领导者控制这些风险并让他们负责将有助于带来更高效的交互和更及时的风险评估。 以下是一些想法:Dolberg说,虽然不是常态,但一些公司现在将薪酬与业务部门在信息安全问题上的表现挂钩。业务部门对信息安全的责任越大,报酬就越高。许多公司也在模拟信息安全事件,以便业务人员可以更广泛地了解问题。 与整体数据集相比,表现最佳的ISC-Squared受访者在要求业务部门对风险负责的四项标准中的三项上得分很高,特别是使用模拟获得高级支持和制定明确的风险监管政策。 第三个因素:将信息安全融入关键业务流程。 该因素考察CISO和团队将信息安全风险评估整合到引入新应用程序、系统、产品、市场参与者、依赖第三方托管服务或云部署的重要流程中的程度。 ISC-Squared的样本在选择供应商方面做得很好。将安全纳入供应商选择意味着向法律和采购部门提供信息安全信息,以便他们知道在与新供应商签订合同时要问哪些问题。就ISC-Squared的样本对象而言,如果一个厂商要向其企业销售产品,信息安全必须是一个重要的考量标准。 与整体数据集相比,表现最好的ISC-Squared受访者在融入信息安全的四项标准中的三项上得分较低。但是,他们在将安全性集成到供应商选择方面得分更高。 第四要素:像公司一样经营信息安全。 IANS发现,要获得业务领导的信任,必须像公司一样运营CISO部门。 IANS在预算、人事管理和项目管理等方面对ISC-Squared的成员进行了评估。ISC-Squared组织的成员在项目管理方面做得很好并且通常与其他任务不相上下,这不足为奇。 ISC-Squared成员展示了对资源的熟练和灵活的使用,包括管理顾问和合同工。他们还可以提出项目、为项目配备人员并按时按预算完成项目。 与整体数据集中的表现出众者相比,ISC-Squared调查中的表现最佳者在运营公司信息安全部门方面与整体数据集不相上下。 第五要素:打造精通技术和业务的团队。 在这个因素上,ISC-Squared组织成员组在使用围绕技术、业务和人际技能构建的能力模型方面得分低于整体数据集,在培训管理领导力方面得分略低。 IANS表示,ISC-Squared成员需要更好地专注于为能够持续发展和代表CISO的团队制定计划,同时还要专注于规划项目和突出新兴事件。 第六要素:传递信息安全的价值。 这一领域的成功取决于CISO将信息安全的价值清楚地传达给企业的程度,以便其他员工能够理解它。 CISO需要了解业务的各个方面。从调查结果可以看出,ISC-Squared样本能够非常具体地向销售、软件开发、物流等业务部门描述安全需求。 ISC-Squared组织的成员在这方面做得很好,尤其是在传递信息安全的价值方面,尤其是在利益相关者互动方面。 第七个因素:成功的组织。 信息安全源于IT,但功能演变的方式不仅仅影响IT。虽然还不是趋势,但现在有更多的CISO向风险、财务和法律部门报告。有些人甚至接受首席执行官的命令。 **最大和最成功的公司都有一个CISO部门,该部门与公司内尽可能多的部门和团队进行沟通。ISC-Squared样本在两个方面与数据集的其余部分相当,甚至更好:CISO间接向技术以外的部门报告并联系高层管理人员。 原文地址:http://www.darkreading.com/operations/7-factors-that-make-security-organizations-more-effective/d/d-id/1326983
