網路安全策略最佳實踐
實施一個網路安全策略開發流程,確保業務與安全目標、具體項目和行動之間的清晰聯繫。
網路安全策略定義願景及實現方式
網路安全領導者經常被戰術挑戰佔據時間,忽視了進行有效的戰略規劃,這是一個錯誤。
具體的網路安全策略設定了中長期的方向,概述了安全組織將如何支持並推動公司戰略和數位發展。這也有助於組織制定預算,並記錄戰略決策和資源分配背後的理由。
網路安全策略的構建塊與戰略規劃過程類似,您必須:
- 闡明戰略願景與業務推動因素。
- 定義組織中當前的網路安全狀態,這應該以成熟度評估、漏洞評估、風險評估、審計結果和滲透測試為基礎。
- 提供一個優先級排序的路線圖,明確將項目和改正行動與評估中確定的差距、風險或漏洞以及相關的業務、技術和環境推動因素相聯繫。
有了記錄明確的願景、當前狀態和路線圖,網路安全領導者可以更清楚地與業務領導者溝通。一個企業安全指導委員會應該以協作的方式審查、討論並批准安全政策,然後正式記錄、傳播並在整個組織中溝通。
根據業務、技術和環境驅動因素定義願景
網路安全策略中最重要的元素之一是願景,它以業務高管能夠理解和支持的方式解釋網路安全計劃的目標。戰略願景闡明了在規劃期內網路安全策略希望達到的理想狀態。
大多數組織將其願景建立在國際標準之上,例如國家標準與技術研究所(NIST)網路安全框架(CSF)或ISO 27001。
但不應僅限於這些標準元素,應將與貴組織相關的業務、技術和環境驅動因素納入其中。以下是一些驅動因素的範例:
業務驅動因素:
- 成本削減計劃
- 產品多樣化
- 地理擴展
- 併購或剝離
技術驅動因素:
- 數位化策略
- 數據中心整合
- 雲端採用
環境驅動因素:
- 經濟衰退或增長狀況
- 社會政治動盪
- 地緣政治緊張局勢,例如貿易戰
- 即將到來的法規變更
願景中應包括在規劃期內希望實現的具體網路安全目標,這些目標應包括:
- 整體計劃的成熟度水平,以及特定流程和功能的目標成熟度水平
- 示例性網路安全願景模型與聲明
- 根據執行領導層設定的風險偏好範圍內接受的風險暴露水平(將定義的風險偏好納入願景文件中)
- 應對新興威脅或顛覆性技術的新能力和架構
- 支持企業增長策略,例如為整合併購組織到企業安全計劃中設計的網路安全框架
這些目標應在網路安全戰略規劃過程的早期與主要利益相關者進行溝通並達成共識,並在領導層批准優先事項路線圖時進行討論。這一步應與組織的安全指導委員會合作進行。
此外,您還可以將一套指導原則納入網路安全策略願景,為規劃過程提供指南。這些原則的示例包括:
- 資訊擁有者對保護資訊和資訊資源負責。在共享資訊和資源的情況下,CIO是代理擁有者。
- 企業風險偏好將指導所有安全決策,並且所有安全控制措施應與相關風險相稱。
- 網路安全計劃將記錄政策、標準、指南和程序,以傳達安全要求並指導安全控制措施的選擇和實施。
評估網路安全現狀並優先填補差距
在定義網路安全策略的願景後,接下來的步驟是識別願景與現實之間的差距。
可使用不同類型的評估方法來掌握當前狀況,並將結果與願景陳述進行對比,作為差距分析的一部分。每個差距都代表著您可能會採取的行動或倡議,以實現這一願景。
大多數組織都無法在一個規劃期內縮小所有識別出的差距。因此,應根據風險水平、所需資源和每個項目的價值實現時間來設定優先事項。在規劃期內,將長期和短期的價值實現項目都納入考量。這些根據執行時間表優先排序的項目,將構成網路安全策略路線圖的基礎。
爭取高層領導對願景與優先事項的認同
在確立願景和優先事項後,網絡安全領導者必須向高層利益相關者傳達策略,以獲得他們的支持。
這通常包括一份書面報告和一場高層簡報,說明當前狀況和期望狀況,以及這些優先事項如何幫助縮小兩者之間的差距。簡報的重點應放在這些項目如何為業務創造價值,並明確強調網絡安全策略如何與業務策略相一致。
即使獲得了策略的批准,仍需建立季度報告與溝通的節奏,並說明進展與挑戰。需明確:
- 預期的效益是否全部或部分實現,哪些尚未實現
- 實現的意外效益和不利影響
- 尚無結論的項目
- 可能觸發安全回應或策略變更的挑戰
還應定期進行季度審查和情境規劃研討會,以識別是否有驅動因素發生變化,從而需要對現有策略進行調整。此審查過程還應找出任何可能導致重大影響的外部趨勢或事件的關鍵先導指標,從而促使對安全策略和路線圖進行重大調整。