然而,即使現在網絡威脅來勢洶涌,但是網絡安全防御仍然不夠。通常而言,當最佳安全實踐有可能干擾業務效率或整體生產力時,業務優先級往往是高于安全優先級的。對于許多CSO和CISO來說,資金不足是另一個值得普遍關注的問題,董事會根本沒有準備好,沒有為他們提供真正需要的預算和資源,來確保他們的業務安全。
企業需要有長遠考慮
在短期內,減少安全資金以促進業務的其他領域發展似乎是個好主意,但這是一個很大的風險,一旦高管人員也受到攻擊,后果更加不堪設想。例如,盡管在年度預算周期內,額外撥出50萬英鎊作為新的安全資源投入似乎并不可行,但與數據泄露后面臨的數百萬英鎊的罰款、法律費用和緩解費用相比,這顯得相形見絀。
英國航空公司(BritishAirways)在其網站上稱遭到“復雜的惡意犯罪襲擊”之后,就被信息專員辦公室(ICO)罰款1.83億英鎊,因為在此期間,約有50萬名客戶的詳細信息泄露。
這樣的例子強調了通過實施網絡安全實踐來確保長期安全性和合規性的重要性,這些實踐首先能做的就是防止此類數據泄露。另一種更為主動的方法就是將網絡安全實踐整合到更廣泛的業務策略中去,這可以大大減少數據丟失,并使安全團隊能夠更迅速、更準確地應對任何真實存在的威脅。
隨著越來越多的組織依靠軟件應用程序來發展業務,所以保護這些應用程序變得十分必要。因此,采用一種系統的、基于風險的方法在軟件開發生命周期(SDLC)的早期評估和解決網絡安全漏洞,而不是出現漏洞后才這樣做。
業務和安全目標必須保持一致
安全方法與整個組織的方法結合才是最有效的。但是很多時候,一旦將安全性納入SDLC會對開發時間或者發布窗口有不利影響時,便會被重新考慮。
當補救漏洞所需的時間威脅到重要應用程序的發布時,安全團隊就會承受壓力。如果不能通過令人信服的業務案例來推遲發布,并解決安全問題,那么風聲將不脛而走。
風險在有效安全決策中的作用
在上述情況下,安全團隊需要能夠迅速讓高層決策者認識到所涉及的風險以及無法修復漏洞的潛在后果。這既需要對應用程序的預期業務目標有扎實的理解,又需要有以決策者能夠理解的方式來構成論點的能力,而不是給他們一堆的安全術語。最好的方法之一是基于風險的方法,該方法有兩個主要階段。
第一階段包括全面評估當前正在開發的所有Web應用程序,并建立嚴格的監視流程以快速識別漏洞。在此階段進行徹底檢查至關重要,因為如果只是遺漏了一個應用程序,或者一個系統沒有安全保護,那么它將為網絡罪犯創造一個新的潛在風險。
完成第一階段后,便可以開始第二階段,將業務影響納入戰略規劃過程。通過正確定義特定漏洞可能造成的潛在損失,并幫助高級管理人員以通俗易懂的方式理解這些損失。不僅可以幫助滿足對有效安全性的需求,還可以根據整個組織的風險級別對活動進行更精細的調整。
采用基于SaaS的方法進行應用程序掃描
在整個SDLC中采用基于SaaS的方法進行應用程序掃描,安全團隊可以持續評估生產過程中的風險,而不僅僅是幾個關鍵點。因此,當與業務活動優先級合理結合時,可以評估更為準確的風險狀況,公司各層級也可以接受。
關于有效的安全性,對于安全團隊來說,讓整個組織企業理解是很重要的。采用基于風險的方法可以做到這一點,通常將復雜的漏洞和分析轉換成對所有人,特別是對高級管理人員有意義的術語,有助于他們理解。然后進行適當的討論,采取合理的、正確的決策,從而使整個公司受益,并使公司免受眾多網絡威脅的侵害。
