由于运营环境复杂多变,网络安全计划的有效性不断受到挑战。安全和风险管理领导者应采用 Gartner 网络安全运营模型,以确保其安全能力根据当前形势进行优化。
主要发现
-
商业野心、不断演变的威胁形势和监管压力对网络安全组织所需的能力提出了挑战。
-
在为组织创建符合其具体情况的"正确"网络安全运营模型时,安全和风险管理领导者 (SRM) 必须考虑几个变量。
-
采用零碎的方法,只改变一个运营模式组件而不考虑相互依赖性,往往会导致不一致和运营效率低下。
建议
-
使用 Gartner 网络安全运营模型的九个组件来设计和完善组织在不断变化的环境中的运营模型。
-
在组织的网络安全、IT 和业务战略背景下制定运营模式,同时也要考虑外部驱动因素。
-
通过评估主要变化对运营模型所有组件的影响,采取一种有凝聚力的方法。
概述
业务、威胁和数字环境的变革步伐和发展速度从未放缓。我们需要有效地管理这些变化,以确保组织的网络安全能力和相关安全计划得到优化。这确保组织将网络安全风险控制在可接受的水平,并支持其战略目标的实现。
然而,网络安全计划的有效性在很大程度上取决于对一系列相互关联的运营模型组件的管理,而SRM领导者往往孤立地看待和处理这些组件。缺乏战略性和规划性的方法来管理所有这些组件,可能会导致网络安全能力低效,无法满足组织的需求。
SRM 领导者如何采取更结构化、更细致入微的方法来确保网络安全功能在动荡、不确定、复杂和模糊的运营环境中发挥最佳效力?
SRM 领导者必须了解构成其网络安全运营模型的所有组件,并采取整体方法来调整它以满足其组织不断变化的需求。
网络安全运营模型体现了如何协调网络安全能力以实现运营和战略目标。该模型通过描述方法、结构、资源和技能来实现。
Gartner 网络安全运营模型基于现有的信息和技术(IT ) 运营模型框架(参见)。Gartner 网络安全运营模型由九个相互依存的组件组成。它受企业文化的影响,并将反过来影响企业文化。这九个组件中的每一个都以治理为依据。这九个组件分为三个领域:采用、赋能和交付(参见图 1)。
图1:网络安全运营模型组件框架
分析
了解网络安全运营模型的组件
不断变化的企业目标和外部压力使得许多运营模式不再适用。SRM 领导者必须确保充分理解网络安全运营模式的所有组件,更重要的是,他们应该了解各个组件之间的相互作用。表 1 描述了Gartner 网络安全运营模型的九个组件。
表 1: 网络安全运营模型的组件
|---------|--------------------------------------------------------------------------------|
| 组件 | 描述 |
| 采用 ||
| 性能 | 这是进行绩效管理的方式,以确保安全策略的有效执行和持续的运营。 正式的安全计划对于跟踪和改进战略和运营的绩效有良好的推动作用。 |
| 决策权 | 关键利益相关者群体在执行安全战略时拥有的决策权。这还包括执行与适当风险偏好水平相符的计划,并确定网络安全计划的优先级。这(显然)受到企业治理的强烈影响。 |
| 财务 | 这些因素决定了网络安全的资金来源、预算的分配和监控方式,也涉及投资如何与战略和风险偏好相一致。 |
| 赋能 ||
| 组织结构 | 整个组织的网络安全的报告关系、关键角色和职责的层次安排的描述和定义------通常在组织结构图中描绘。 |
| 采购和生态系统 | 采购是指组织内部或外部员工(例如 MSSP)为实现安全目标而执行或交付特定服务的方式。 生态系统是组织内外关系和伙伴关系的网络。它们共同增强并创造安全价值。 |
| 人力 | 执行安全计划所需人员的能力、技能和概况,例如安全分析师、渗透测试人员、安全架构师、安全运营中心 ( SOC ) 分析师等。 |
| 交付 ||
| 交付模式 | 网络安全能力在整个组织内的交付方式。例如,使用多学科团队,或采用DevSecOps等方法。 这应该通过正式的安全计划来管理和协调。 |
| 工具和平台 | 用于实施安全控制和提供安全结果的工具和平台,例如安全信息和事件管理 (SIEM)、终端检测和响应 (EDR) 以及用户和实体行为分析 (UEBA)。 |
| 工作场所 | 这是指安全团队成员的实际办公地点。例如,当涉及与生态系统中推动员工物理共置的其他方合作时,这可能会受到交付模式、远程/混合工作政策以及采购和生态系统的影响。 |
这九个组件受到两个重要要素的强烈影响,并且反过来又会影响这两个重要要素:治理和文化(见表 2)。
表 2: 对网络安全运营模式有重大影响的环境要素
|--------|------------------------------------------------------------------|
| 要素 | 描述 |
| 网络安全治理 | 指导、监督和监控企业实现其网络安全使命和战略的过程。 定义责任并根据风险所有者的风险承受能力平衡安全风险。 确保遵守决策和政策。 |
| 网络安全文化 | 实现和维持网络安全战略所需的行为、信念和规范。 |
Gartner 网络安全运营模型描述了当今整个组织开展网络安全的方式。然而,网络安全运营模型也可以成为一个有用的工具,帮助 SRM 领导者设计、描述和指导从当前状态到未来状态的过渡,通常称为目标运营模型 (TOM)。
鉴于SRM领导者无法掌控的因素可能导致变更的数量、速度和范围,过于详细的运营模式文档可能没有必要(实际上也不建议这样做),因为到最终完成时,这些文档可能会过时。我们建议,总结高级特征来描述每个要素的目标状态,这是一种更有效的方法。
对于 SRM 领导者来说,至关重要的是,不仅要向利益相关者清楚地传达他们的运营模型,还要确保模式与其实施之间的一致性,以获得利益相关者的强烈支持、支持和赞助。如果不这样做,可能会导致其他人单方面更改网络安全运营模型的某些组件(最有可能是财务或决策权),并可能破坏其有效性。
做出改变时考虑整个运营模型
网络安全运营模型的九个组件相互依存。对一个组件的变更需要审查该变更对其他组件的影响。
许多触发因素可能导致网络安全运营模型发生变化。例如:
-
安全策略的改变
-
威胁格局的变化
-
业务战略的改变
-
IT战略的改变
-
新技术的出现
-
企业问题/变化
-
行业动态的变化
网络安全运营模型的变化也可能引发IT运营模式的变化,反之亦然。因此,安全和风险管理领导者应将运营模型视为一个集成系统。对该系统的任何变更都应仔细审查,避免只更改一个组件而忽略其他组件。
在许多情况下,安全和风险管理领导者会根据变化对组织结构进行调整。但如果在不了解对运营模型中所有其他组件的影响的情况下进行调整,其效果将是有限的。
为了克服这个问题,通常会在运营模型的其他组件实施新的"下意识"变更。这种针对单个组件的变更可能不会带来太大效果,甚至可能抵消掉部分初始变更的效果。最终,这会导致持续的临时变更,网络安全人员会"迷失"并失去动力。
在图2的示例中,通过人才短缺的示例触发事件进一步详细描述了运营模型各组件的依赖关系。
图2:人才短缺对网络安全运营模式组件的依赖效应
日益扩大的缺口使得安全和风险管理领导者难以招聘和留住保护数字资产所需的人才。此外,受组织数字化交付民主化推动的网络风险决策激增,也加剧了人才短缺问题。如图2所示,我们以网络安全人才短缺作为触发事件。目前,网络安全人才缺口已得到充分证实。到2024年,该行业在全球范围内将面临480万人的劳动力缺口。日益扩大的人才缺口使得安全和风险管理领导者难以招聘并留住保护数字资产所需的人才。此外,受组织数字化交付民主化的影响,网络风险决策的激增也加剧了人才短缺的问题。
这一触发事件可能需要首先关注人才和决策权部分。在人才战略方面,组织可能会转向利用外包来填补人才缺口。在决策权方面,这可能意味着赋予资源所有者更多自主权,以实现更分散的网络风险决策,从而减轻安全人员的负担,使其能够专注于高价值任务。此外,这些初步变化最终将影响该组件及所有其他组件。
结论
将触发一个或多个其他组件的变更,这些变更需要考虑和管理。需要注意的是,运营模型在其所处的环境中是独一无二的,因此无法从其他组织复制。SRM领导者必须了解其网络安全运营模型的组件,并将它们视为一组相互关联的元素。一个或多个运营模型组件的变更将触发一个或多个其他组件的变更,这些变更需要考虑和管理。需要注意的是,运营模型在其所处的环境中是独一无二的,因此无法从其他组织复制。
作为网络安全计划的抽象概念,运营模型提供了"当前运作方式"的全面视图。这对于SRM领导者有效地建模、规划和执行网络安全计划的必要变更至关重要,这些变更源于新技术引入、数字化民主化和企业范围内的成本优化等触发因素。它有助于确保所有调整都与组织目标在战略上保持一致。