日益升级的网络威胁要求企业建立可防御的安全计划,以平衡安全保障与业务运营。这项研究为网络安全领导者提供了构建和维护可防御安全计划的关键见解。
主要发现
-
高级管理人员面临越来越大的压力,需要证明其组织在应对网络安全威胁和风险方面履行了尽职调查的职责。这凸显了透明的报告和健全的治理对于维护利益相关者信任的重要性。
-
安全计划通常缺乏业务层面的适当防御能力,与业务成果缺乏一致性。这导致企业领导者缺乏信任,以及业务支持和投资不足。
-
许多安全项目仍然专注于满足合规性要求。这使得它们无法实现有效的、基于风险的安全成果。
-
可防御的网络安全计划可以在安全漏洞发生后提供充分尽职调查的证据并支持监管披露要求。
建议
-
从网络安全风险处罚,制定有效的基于风险的控制决策。具体做法包括:制定企业信息安全章程,识别风险,记录风险管理流程以及相关的责任、受托、支持、咨询和知情(RASCI)图表,并明确协作安全风险决策的协调人员。确保网络安全风险责任明确,从而制定有效的基于风险的控制决策。
-
构建反映组织独特业务环境的安全计划。利用普遍接受的标准和成熟的实践(例如制定正式的安全策略)来构建反映组织独特业务环境的安全计划。
-
通过强调商定的网络安全原则和规范安全流程,设计和持续改进的计划。通过强调商定的网络安全原则和规范安全流程,设计敏捷性和持续改进的计划。
概述
有效应对数字化、法规和日益增多的网络威胁所带来的风险的唯一方法是制定持续的安全计划,不断改进并适应不断变化的威胁。遗憾的是,太多组织在建立安全能力时只是"打勾"。他们通常会编写大量文档并大力投资技术。然而,他们很少甚至根本不花时间建立有效的治理,或培养有效评估和解读风险的能力。
这种关注度的提升凸显了人们日益认识到网络安全不仅仅是一个技术问题,更是一个需要高管关注的关键业务风险。随着企业面临日益增强的网络安全态势压力,治理和潜在风险评估流程中的这种差距正变得越来越明显。反映出这种转变,69%的受访首席信息官和技术高管计划在未来 12 个月内将更多个人工作时间用于管理网络安全和其他技术风险。这种日益受到关注的现象凸显了人们日益认识到网络安全不仅仅是一个技术问题,而是一个需要高管关注的关键业务风险。
正在寻求方法,确保他们的工作不仅具有前瞻性,而且具有可防御性。一个可防御的安全计划能够合理地回答利益相关者提出的重要问题:"组织是否采取了足够的措施来合理地保护其信息资源?" 回答这个问题将提供证据证明组织在安全漏洞发生后已进行充分的尽职调查,并支持监管披露要求。随着企业承担的风险越来越大,网络安全在高管议程中的重要性也日益提升,网络安全领导者正在寻求方法,确保他们的工作不仅具有前瞻性,而且具有可防御性。
反映出这种紧迫性,87%接受调查的首席信息官和技术主管表示,他们的企业计划在 2025 年增加对网络/信息安全的资金投入(相比 2024 年),这表明企业明显转向优先考虑安全投资,以构建更具弹性、更具防御性的计划。
为了具有防御性,安全计划必须:
-
获得行政领导的明确授权。
-
建立并执行明确的所有者责任制。
-
投资风险评估能力,旨在根据商定和定义的风险偏好优化风险管理结果。
-
参考公认的标准(同时避免盲目遵守)。
-
清晰地链接到组织独特的业务环境。
-
支持数字化战略。
-
注重持续改进。
-
敏捷地快速应对不断变化的威胁和情况。
-
支持正式、可重复的安全流程。
典型的网络安全计划的组成部分包括(见图 1):
-
企业信息安全章程为该计划提供执行授权。
-
参考条款,即一组基于标准的文件,作为指导决策的参考模型。
-
治理结构,例如企业网络安全指导委员会,负责监督该计划的治理。
-
概述该计划的愿景、使命和行动路线图的战略计划。
-
"照常营业"的网络安全流程,例如政策管理、风险管理、监控和检测以及事件响应。
图 1:网络安全计划的组成部分
以使他们的安全计划具有防御性。在这项研究中,我们探讨了网络安全领导者应采用的最佳实践,以使他们的安全计划具有防御性。
分析
确保网络风险问责,以做出有效的风险决策
建立信息安全章程是确保企业范围内明确网络风险责任的关键。此外,正式记录风险管理流程并明确安全风险决策的推动因素,对于项目的成功也至关重要。
创建企业信息安全章程
一份名为《企业信息安全章程》的文件中概述了可防御安全计划的基础。这份简短的文件以通俗易懂的语言撰写,为高管层树立了积极的基调。它明确了所有者对保护信息资源的责任,并授权网络安全领导者建立和维护安全计划。无论汇报关系如何,该文件都应赋予网络安全领导者影响其组织所需的权力和权限。
网络安全领导者应确保本章程文件得到组织执行领导层(即首席执行官和董事会)的阅读、理解、签署、明确认可和每年重申(见)。
识别风险并记录风险管理流程
实现防御性的关键在于安全程序能否支持基于风险的控制决策。这至少需要建立风险登记册,并配备识别和捕获风险、分配所有权以及跟踪补救措施的相关流程。
那些自我评估为拥有有效IT风险管理(ITRM)实践的组织往往在这一领域更加积极主动。45%的此类组织每月进行风险评估,而其他组织只有14% ,这凸显了频繁、持续进行风险评估的重要性。
这种全面的跟踪不仅能增强对潜在威胁的可见性,还能支持更明智的决策。如果资源充足,风险管理流程还必须包括采用并定制合适的风险评估方法和工具。拥有自我评估有效的ITRM的组织也能更好地利用风险登记册,与其他组织相比,记录的风险中位数要高出20个。这种全面的跟踪不仅增强了对潜在威胁的可见性,而且还支持更明智的决策。
使用这些方法和工具将允许训练有素的专家进行临时和定期的风险评估。
网络安全领导者应该认识到,妥善记录风险管理活动和决策是防御能力的隐性组成部分。他们应确保一旦发现风险,所有相关方面(例如评估的风险暴露、责任人、处理决策和处理措施)都得到正式记录。
定义谁来促进协作安全风险决策
信息资源(例如业务部门)和控制权所有者(例如首席信息官)保持适当的独立性。对于资源受限的组织,或正在经历重大转型或并购(M&A)活动的组织,设立虚拟的网络安全领导职位或许是一个可接受的折衷方案。许多法规要求设立正式的、配备人员的网络安全领导层,并使其与信息资源(例如业务部门)和控制权所有者(例如首席信息官)保持适当的独立性。对于资源受限的组织,或正在经历重大转型或并购(M&A)活动的组织,设立虚拟的网络安全领导职位或许是一个可接受的折衷方案。
公司治理的角度来看,它确实通过避免某些利益冲突来。如果组织规模、安全计划的成熟度以及文化和政治现实允许,网络安全职能部门应该独立于首席信息官汇报。虽然这种分离本身会带来一些挑战,但从公司治理的角度来看,它确实通过避免某些利益冲突来增强防御性。
企业安全指导委员会成为讨论安全挑战、拟议政策和投资计划的有效平台。安全风险决策不能由安全团队独自做出。最可靠的安全决策是安全团队与所有相关利益相关者共同做出的决策。企业安全指导委员会可以成为讨论安全挑战、拟议政策和投资计划的有效平台。
值得注意的是,在 2024 年 Gartner 设计和构建现代安全运营调查中,只有约27% 的受访者表示他们的组织与网络风险管理团队有着出色的合作,这凸显了许多组织的安全治理框架中一个需要改进的关键领域。
该指导委员会应包含信息所有者(即业务部门)和职能部门(IT、法务、人力资源和隐私办公室)的直接决策代表。它是征求高级业务领导对安全计划持续意见和支持的重要平台。此外,它还能确保这些领导不仅了解自身业务部门的风险,还了解所有业务部门和共享职能部门的风险。
防御性的关键要素是可信度,它容易失去却难以建立。可信度对于维持高管对安全计划的支持至关重要。高管报告框架和流程可以成为建立和维护这些计划可信度的有效工具。该框架及其相关流程必须以能够做出明智的、基于风险的高管决策的方式报告安全计划和风险态势。
必须尽可能地表明安全风险对组织管理关键风险指标和实现其业务关键绩效指标 (KPI) 的能力的影响。报告技术细节(例如已阻止的垃圾邮件数量)不会有助于实现业务目标。
构建反映组织业务环境的基于标准的程序
获得业务部门对安全计划支持的先决条件是清晰的愿景,该愿景应以非安全部门领导和高管能够理解和支持的方式,解释该计划的组成部分和目标。该愿景应与业务环境相关,并反映组织独有的业务、技术和环境驱动因素(见表1)。
表 1: 组织安全愿景的业务、技术和环境驱动因素
|-------------------------------------|------------------------|------------------------------------------|
| 业务驱动因素 | 技术驱动因素 | 环境驱动因素 |
| * 成本削减计划 * 产品多样化 * 地理扩张 * 并购 * 资产剥离 | * 数字化战略 * 数据中心整合 * 云采用 | * 监管要求(例如《通用数据保护条例》[GDPR]) * 主要的网络安全威胁 |
来源:Gartner(2025 年 4 月)
防御性的关键要素之一是能够证明组织的努力符合普遍接受的、经过验证的实践和标准。就安全计划而言,这意味着使用一个或多个基于公认行业标准(例如 NIST 网络安全框架 [CSF]、ISO/IEC 27001/2 或 CIS 控制 [以前称为关键安全控制])的分类参考模型来指导战略和战术决策。
许多组织利用同行基准来衡量其计划的各个要素(例如,支出水平、员工数量、计划成熟度或符合普遍接受标准的水平)以支持其可辩护性论点。
支持可防御安全计划的另一个要素是安全策略,该策略应清晰反映中长期业务安全需求。这需要制定一份记录在案的策略,该策略应:
-
阐明表 1 中提到的战略愿景和业务背景(不断变化的业务、技术和环境驱动因素)。
-
使用多种评估(例如,成熟度评估、漏洞评估、风险评估、审计结果和渗透测试或合规性评估)来提供有关组织安全能力当前状态的不同观点。
-
提供优先路线图,明确地将项目和纠正措施与评估中发现的差距、风险或弱点以及相关的业务、技术和环境驱动因素联系起来。
网络安全领导者应确保战略的记录和传达方式与高管层接收战略规划信息的方式相一致。
为了让组织领导者接受并支持安全计划,安全政策和相关标准必须与受这些政策约束的业务领导层进行沟通,并由他们进行审查和批准。
这些方面应正式纳入政策管理流程,企业安全指导委员会应以协作的方式审查、讨论和批准安全政策。此外,安全政策必须正式记录,并通过安全意识和文化计划、年度培训课程和认证进行传播和沟通。
设计敏捷性和持续改进的程序
有效的安全是一个不断变化的目标。认识到这一现实并做好规划是防御能力的体现。网络安全领导者应确保其组织的安全计划能够预测并应对业务、技术和运营环境中频繁发生的意外变化。此外,还应推动安全控制有效性和效率的持续改进。
持续改进并同时应对变化的能力,取决于一套普遍认可的安全原则,这些原则将指导日常的安全规划、实施和运营。这些原则包括:
-
根据特定风险和风险偏好而不是复选框合规性做出控制决策。
-
支持业务成果而不是仅仅保护基础设施。
-
在设计和管理安全控制时考虑人为因素。
可防御的安全计划的其他特点是能够实现敏捷性和持续改进,包括:
-
对组织环境进行定期或阶段性漏洞评估,如果资源可用,则可能与威胁情报的利用相关。
-
频繁(例如每季度)进行情景规划练习和项目状态审查,以使路线图优先级适应不断变化的情况。
-
不断发展的安全监控和检测能力,与定期测试的事件响应流程相联系。
-
安全行为和文化计划 (SBCP),旨在培养和植入新的、更安全的实践和行为(见)。
-
明确定义的安全流程(例如风险管理、策略管理、威胁和漏洞管理以及身份和访问管理)及其相关 RASCI 图表的所有权。