应用网络安全研究所(IANS)对ISC-Squared的80个成员所作的抽样调查发现,组织成员在技术才能方面得分很高,但是在组织参与方面稍落后于IANS对1000个对象所作的更广泛的抽样调查。
技术才能侧重于部署的具体安全产品和服务,而组织参与是指公司针对信息安全如何与业务步调一致所落实的流程。
IANS的***研究官Stan Dolberg和IANS***执行官Phil Gardner在近日于奥兰多召开的ISC-Squared安全大会上介绍了上述调查结果。
Gardner补充道,随着***信息安全官(CISO)与企业里面的更多小组和部门进行联系,组织参与的重要性会与日俱增。
Gardner说:“我们发现,向企业的其他部门间接汇报的现象越来越多。ISC-Squared组织成员中约80%向IT部门之外的部门进行某种汇报。”
IANS把组织参与分为七个因素。本文列出了这七个因素,并介绍了ISC-Squared的成员相比更广泛的成员情况如何。
***个因素:获得事实的控制权。
通过获得事实的控制权,ISC-Squared的成员按CISO和团队执行下列工作的方式来打分:识别所使用的威胁和风险数据的种类;识别那些资产和流程面临的威胁和风险;对照那样风险,评估控制机制的强度;并与高层管理班子就那些评估达成共识。
此外,IANS衡量CISO在多大程度上将该信息与来自公司遇到的事件的数据联系起来,衡量它们是否对该数据建模、开发预测模型。IANS还密切分析了公司是否验证了那些预测模型,它们是否开发了一种规划工具,以便CISO用来帮助识别新的业务项目面临的潜在风险。
相比1000个对象的总体数据集,表现***的ISC-Squared调查对象在三项标准中的两项得分偏低。
第二个因素:让业务领导人负责风险。
IANS表示,CISO部门是为了帮助高层管理班子管理信息安全风险而设立的。但是CISO部门无法“负责”所有风险。
新的业务项目带来了新的风险;相比CISO负责所有的信息安全风险,让业务负责人管控那些风险、并让他们对此负责有助于带来更高效的交互、更及时的风险评估。
这里有几个想法:Dolberg表示,虽然不是常态,但一些企业现正在把薪酬与业务部门在信息安全问题上的表现实行挂钩。业务部门在信息安全方面所负的责任越大,薪酬就越高。许多公司还在模拟信息安全事件,那样业务工作人员就能更广泛地了解问题。
相对总体数据集,表现***的ISC-Squared调查对象在让业务部门负责风险的四个标准方面中的三个得分较高,尤其是利用模拟获得高层的认可,以及制定明确的风险监管政策。
第三个因素:把信息安全融入到关键的业务流程。
这个因素着眼于CISO和团队在多大程度上把信息安全风险评估融入到重要流程中,而这些流程带来了新的应用程序、系统、产品、市场玩家、依赖第三方的托管服务或云部署。
ISC-Squared的抽样对象在选择厂商方面做得很好。把安全融入厂商选择意味着,向法务部门和采购部门提供信息安全信息,那样它们知道在与新厂商签署合同时提什么样的问题。就ISC-Squared的抽样对象而言,如果厂商想把产品卖给其企业,信息安全肯定是考虑标准的重要部分。
相对总体数据集,表现***的ISC-Squared调查对象在融入信息安全的四个标准中的三个得分较低。然而,它们在把安全融入厂商选择方面得分较高。
第四个因素:像运作公司那样运作信息安全。
IANS发现,想要博得企业领导层的信任,有必要像运作公司那样运作CISO部门。
IANS在预算编制、人事管理和项目管理等方面评估了ISC-Squared的成员。ISC-Squared组织成员在项目管理方面做得很好,其他任务方面基本上不相上下,这不足为奇。
ISC-Squared的成员能够证明可以熟练、灵活地利用资源,包括管理顾问和合同工。它们还能提议项目、配备人手,并按时、按预算完成项目。
相比总体数据集当中的表现出众者,表现***的ISC-Squared调查对象在运作公司那样运作信息安全部门方面与总体数据集不相上下。
第五个因素:打造精通技术和业务的团队。
就这个因素而言,ISC-Squared组织成员组在使用围绕技术、业务和人际技能而打造的能力模型方面的得分低于总体数据集,在培训管理层的领导力方面得分低一点。
IANS表示,ISC-Squared组织成员需要更好地专注于制定能不断发展、代言CISO的团队的计划,同时专注于计划项目以及突出出现的事件。
第六个因素:传达信息安全的价值。
这个方面的成功取决于CISO如何向业务部门清楚地传达了信息安全的价值,以便能够被其余工作人员所体会。
CISO需要了解业务的方方面面。从调查结果来看,ISC-Squared抽样对象很显然能够向销售、软件开发和后勤等业务部门非常具体地描述安全要求。
ISC-Squared组织成员在这方面表现很好,尤其是传达信息安全的价值,尤其是利益相关者互动方面。
第七个因素:成功的组织方式。
信息安全脱胎于IT,但是这个职能部门演进的方式影响的不仅仅是IT。虽然还没有成为一股潮流,但是更多的CISO现在向风险部门、财务部门和法务部门汇报。一些甚至听命于CEO。
***大、最成功的公司会设有与公司里面尽可能多的部门和小组有沟通渠道的CISO部门。ISC-Squared抽样对象在以下两个方面与数据集其余部分不相上下,甚至更胜一筹:CISO向技术部门之外的部门间接汇报以及联系高层管理人员。