應(yīng)用網(wǎng)絡(luò)安全研究所(IANS)對(duì)ISC-Squared的80個(gè)成員所作的抽樣調(diào)查發(fā)現(xiàn)，組織成員在技術(shù)才能方面得分很高，但是在組織參與方面稍落后于IANS對(duì)1000個(gè)對(duì)象所作的更廣泛的抽樣調(diào)查。

[[172464]]

　　技術(shù)才能側(cè)重于部署的具體安全產(chǎn)品和服務(wù)，而組織參與是指公司針對(duì)信息安全如何與業(yè)務(wù)步調(diào)一致所落實(shí)的流程。

　　IANS的***研究官Stan Dolberg和IANS***執(zhí)行官Phil Gardner在近日于奧蘭多召開(kāi)的ISC-Squared安全大會(huì)上介紹了上述調(diào)查結(jié)果。

　　Gardner補(bǔ)充道，隨著***信息安全官(CISO)與企業(yè)里面的更多小組和部門進(jìn)行聯(lián)系，組織參與的重要性會(huì)與日俱增。

　　Gardner說(shuō)：“我們發(fā)現(xiàn)，向企業(yè)的其他部門間接匯報(bào)的現(xiàn)象越來(lái)越多。ISC-Squared組織成員中約80%向IT部門之外的部門進(jìn)行某種匯報(bào)。”

　　IANS把組織參與分為七個(gè)因素。本文列出了這七個(gè)因素，并介紹了ISC-Squared的成員相比更廣泛的成員情況如何。

　　***個(gè)因素：獲得事實(shí)的控制權(quán)。

　　通過(guò)獲得事實(shí)的控制權(quán)，ISC-Squared的成員按CISO和團(tuán)隊(duì)執(zhí)行下列工作的方式來(lái)打分：識(shí)別所使用的威脅和風(fēng)險(xiǎn)數(shù)據(jù)的種類;識(shí)別那些資產(chǎn)和流程面臨的威脅和風(fēng)險(xiǎn);對(duì)照那樣風(fēng)險(xiǎn)，評(píng)估控制機(jī)制的強(qiáng)度;并與高層管理班子就那些評(píng)估達(dá)成共識(shí)。

　　此外，IANS衡量CISO在多大程度上將該信息與來(lái)自公司遇到的事件的數(shù)據(jù)聯(lián)系起來(lái)，衡量它們是否對(duì)該數(shù)據(jù)建模、開(kāi)發(fā)預(yù)測(cè)模型。IANS還密切分析了公司是否驗(yàn)證了那些預(yù)測(cè)模型，它們是否開(kāi)發(fā)了一種規(guī)劃工具，以便CISO用來(lái)幫助識(shí)別新的業(yè)務(wù)項(xiàng)目面臨的潛在風(fēng)險(xiǎn)。

　　相比1000個(gè)對(duì)象的總體數(shù)據(jù)集，表現(xiàn)***的ISC-Squared調(diào)查對(duì)象在三項(xiàng)標(biāo)準(zhǔn)中的兩項(xiàng)得分偏低。

　　第二個(gè)因素：讓業(yè)務(wù)領(lǐng)導(dǎo)人負(fù)責(zé)風(fēng)險(xiǎn)。

　　IANS表示，CISO部門是為了幫助高層管理班子管理信息安全風(fēng)險(xiǎn)而設(shè)立的。但是CISO部門無(wú)法“負(fù)責(zé)”所有風(fēng)險(xiǎn)。

　　新的業(yè)務(wù)項(xiàng)目帶來(lái)了新的風(fēng)險(xiǎn);相比CISO負(fù)責(zé)所有的信息安全風(fēng)險(xiǎn)，讓業(yè)務(wù)負(fù)責(zé)人管控那些風(fēng)險(xiǎn)、并讓他們對(duì)此負(fù)責(zé)有助于帶來(lái)更高效的交互、更及時(shí)的風(fēng)險(xiǎn)評(píng)估。

　　這里有幾個(gè)想法：Dolberg表示，雖然不是常態(tài)，但一些企業(yè)現(xiàn)正在把薪酬與業(yè)務(wù)部門在信息安全問(wèn)題上的表現(xiàn)實(shí)行掛鉤。業(yè)務(wù)部門在信息安全方面所負(fù)的責(zé)任越大，薪酬就越高。許多公司還在模擬信息安全事件，那樣業(yè)務(wù)工作人員就能更廣泛地了解問(wèn)題。

　　相對(duì)總體數(shù)據(jù)集，表現(xiàn)***的ISC-Squared調(diào)查對(duì)象在讓業(yè)務(wù)部門負(fù)責(zé)風(fēng)險(xiǎn)的四個(gè)標(biāo)準(zhǔn)方面中的三個(gè)得分較高，尤其是利用模擬獲得高層的認(rèn)可，以及制定明確的風(fēng)險(xiǎn)監(jiān)管政策。

　　第三個(gè)因素：把信息安全融入到關(guān)鍵的業(yè)務(wù)流程。

　　這個(gè)因素著眼于CISO和團(tuán)隊(duì)在多大程度上把信息安全風(fēng)險(xiǎn)評(píng)估融入到重要流程中，而這些流程帶來(lái)了新的應(yīng)用程序、系統(tǒng)、產(chǎn)品、市場(chǎng)玩家、依賴第三方的托管服務(wù)或云部署。

　　ISC-Squared的抽樣對(duì)象在選擇廠商方面做得很好。把安全融入廠商選擇意味著，向法務(wù)部門和采購(gòu)部門提供信息安全信息，那樣它們知道在與新廠商簽署合同時(shí)提什么樣的問(wèn)題。就ISC-Squared的抽樣對(duì)象而言，如果廠商想把產(chǎn)品賣給其企業(yè)，信息安全肯定是考慮標(biāo)準(zhǔn)的重要部分。

　　相對(duì)總體數(shù)據(jù)集，表現(xiàn)***的ISC-Squared調(diào)查對(duì)象在融入信息安全的四個(gè)標(biāo)準(zhǔn)中的三個(gè)得分較低。然而，它們?cè)诎寻踩谌霃S商選擇方面得分較高。

　　第四個(gè)因素：像運(yùn)作公司那樣運(yùn)作信息安全。

　　IANS發(fā)現(xiàn)，想要博得企業(yè)領(lǐng)導(dǎo)層的信任，有必要像運(yùn)作公司那樣運(yùn)作CISO部門。

　　IANS在預(yù)算編制、人事管理和項(xiàng)目管理等方面評(píng)估了ISC-Squared的成員。ISC-Squared組織成員在項(xiàng)目管理方面做得很好，其他任務(wù)方面基本上不相上下，這不足為奇。

　　ISC-Squared的成員能夠證明可以熟練、靈活地利用資源，包括管理顧問(wèn)和合同工。它們還能提議項(xiàng)目、配備人手，并按時(shí)、按預(yù)算完成項(xiàng)目。

　　相比總體數(shù)據(jù)集當(dāng)中的表現(xiàn)出眾者，表現(xiàn)***的ISC-Squared調(diào)查對(duì)象在運(yùn)作公司那樣運(yùn)作信息安全部門方面與總體數(shù)據(jù)集不相上下。

　　第五個(gè)因素：打造精通技術(shù)和業(yè)務(wù)的團(tuán)隊(duì)。

　　就這個(gè)因素而言，ISC-Squared組織成員組在使用圍繞技術(shù)、業(yè)務(wù)和人際技能而打造的能力模型方面的得分低于總體數(shù)據(jù)集，在培訓(xùn)管理層的領(lǐng)導(dǎo)力方面得分低一點(diǎn)。

　　IANS表示，ISC-Squared組織成員需要更好地專注于制定能不斷發(fā)展、代言CISO的團(tuán)隊(duì)的計(jì)劃，同時(shí)專注于計(jì)劃項(xiàng)目以及突出出現(xiàn)的事件。

　　第六個(gè)因素：傳達(dá)信息安全的價(jià)值。

　　這個(gè)方面的成功取決于CISO如何向業(yè)務(wù)部門清楚地傳達(dá)了信息安全的價(jià)值，以便能夠被其余工作人員所體會(huì)。

　　CISO需要了解業(yè)務(wù)的方方面面。從調(diào)查結(jié)果來(lái)看，ISC-Squared抽樣對(duì)象很顯然能夠向銷售、軟件開(kāi)發(fā)和后勤等業(yè)務(wù)部門非常具體地描述安全要求。

　　ISC-Squared組織成員在這方面表現(xiàn)很好，尤其是傳達(dá)信息安全的價(jià)值，尤其是利益相關(guān)者互動(dòng)方面。

　　第七個(gè)因素：成功的組織方式。

　　信息安全脫胎于IT，但是這個(gè)職能部門演進(jìn)的方式影響的不僅僅是IT。雖然還沒(méi)有成為一股潮流，但是更多的CISO現(xiàn)在向風(fēng)險(xiǎn)部門、財(cái)務(wù)部門和法務(wù)部門匯報(bào)。一些甚至聽(tīng)命于CEO。

　　***大、最成功的公司會(huì)設(shè)有與公司里面盡可能多的部門和小組有溝通渠道的CISO部門。ISC-Squared抽樣對(duì)象在以下兩個(gè)方面與數(shù)據(jù)集其余部分不相上下，甚至更勝一籌：CISO向技術(shù)部門之外的部門間接匯報(bào)以及聯(lián)系高層管理人員。

　　原文地址：http://www.darkreading.com/operations/7-factors-that-make-security-organizations-more-effective/d/d-id/1326983