網絡威脅日趨復雜,企業想要保護好自身寶貴的數字資產就需采取主動,積極進取。隨著越來越多的數據和IT系統搬上云端,圍繞內部數據中心設置虛擬護墻的傳統方法日漸落伍。尤其是在領導層仔細審查每一分錢有沒有用在刀刃上的時代,安全團隊必須確保自己投資的解決方案能切實構筑網絡韌性。


獲得上佳投資回報率(ROI)并不單單落腳于采購最新的技術和工具。企業可以通過下列五個步驟發揮網絡投資的最大價值,實現全面且有效的網絡安全戰略。


1確定目標


企業必須在投入資源之前先明確自己對網絡安全投資有何期望。無論技術上有多先進,任何工具的功效都取決于其部署背后的戰略。企業必須制定明確而切實的目標,比如提高網絡透明度、抵御勒索軟件,或者縮短事件響應時間。只有設置了明確的目標,資源分配才會更具目的性和戰略性。


2全面風險評估


了解當前網絡安全狀態是加以提升的第一步。可以詢問如下問題:面臨的最大威脅有哪些?哪些組織資產是這些威脅的目標?攻擊者最喜歡用來滲透防線的途徑是什么?根據這些問題的答案制定可量化的網絡風險評分。這一過程中可以參考一些權威機構給出的框架,比如美國國家標準與技術研究所(NIST)創建的那種。此外,實現工具并實施最佳實踐,據此深入了解網絡的架構,識別潛在漏洞和整體網絡連接。然后就可以實現正確的解決方案來減少風險并構筑韌性了。


3在總體業務目標中融入網絡安全目標


網絡安全絕不應當孤立運作。只要安全目標與企業的愿景協調一致,獲得包括高管和董事會在內的高級管理層的支持就會相對容易一些。將安全目標納入總體業務目標可以營造出責任共擔和集體參與的氛圍,能夠簡化安全規程的實現并增強其影響。必須將安全作為增長促進因素而不僅僅是必要的成本中心。


4設置貼合實際且可衡量的關鍵績效指標(KPI)


快速修復或萬能解決方案的誘惑力令人難以抗拒,但這種解決方案也是不現實的。衡量安全投資的有效性時應制定切實可行的KPI。確定現實的評估期(比如六個月),在這個評估期內達成具體的重要成果,可以為衡量回報率和評估影響提供明確的時間窗口,使企業能夠根據數據做出更明智的未來決策。


5徹底評估供應商


企業應審查能應對各種安全挑戰的解決方案,要求供應商提供證據和演示來證實其說法,并積極討論供應商如何在時限內支持組織目標。出自權威機構的第三方評估和測試,比如佛瑞斯特研究所和Gartner這樣的分析師公司或者Bishop Fox之類滲透測試公司,可以為供應商的說法再添一層可信度。


綜上所述,網絡安全不是一次性的,這是一項持續性工作,需要定期檢查、更新和團隊協作。網絡安全不僅僅是保障企業安全,還關乎企業從短期到長期的業務成功。


所以我們需要充分發揮網絡安全投資的最大效能,尤其是在經濟不確定性凸顯,高級領導層嚴密審查每一分支出并期望獲得最大投資回報的時期。遵循上述五個步驟可以確保投資符合企業的特定需求,實現真正的價值。


網絡安全 平臺安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接