首页 > 其他分享 >【安全运营】如何向高管层展示网络安全意识的业务价值?

【安全运营】如何向高管层展示网络安全意识的业务价值?

时间:2024-09-02 14:48:42浏览次数:8  
标签:网络安全 安全意识 管层 钓鱼 展示 员工 指标 安全 高管

原创 超Sir 关键信息基础设施安全保护联盟

没有指标就无法衡量和展示价值,但就常见的安全意识基本指标而言:如学习覆盖率、学习完成率、考试通过率、钓鱼模拟演练中招率、安全事件报告率等等,不太可能引起高管的兴趣和重视。如果高管层看不到更有价值的结果,就不太可能批准更合理的预算和资源支持安全意识教育,而没有足够的理解、重视和资源支持,安全意识教育就无法充分发挥应有的作用。由此,陷入了一个低水平的恶性循环,“人为因素”安全风险便长期无法有效解决。

通过权威数据看安全意识的重要性

据IBM最新发布的《2024年数据泄露成本报告》显示,全球范围数据泄露事件的平均成本达到了488万美元(约3500万元)的历史新高。而造成数据泄露成本增加的主要原因是多方面的,如:监管部门的执法力度和处罚金额加大、网络犯罪分子借助于AI和自动化工具发起越来越复杂的攻击、企业安全团队人员配备不足、员工的安全意识薄弱与安全响应技能缺乏等等,这些都直接或间接反映了加大对员工安全意识教育力度的重要性(如:通过安全意识教育增强制度与行为合规性、加大黑客攻击难度、使广大员工成为安全团队的一份子,充分发挥“联防联控”的作用)。
安全团队在向高管陈述自己的观点时,还可以举出具体的财务证据,以及安全意识教育如何帮助解决成本最高、威胁时间最长的网络攻击类型。例如,恶意内部人员造成的损失成本最高,平均为499万美元。其次为网络钓鱼(社会工程学攻击)以及凭据被盗/泄露,这两类攻击平均给公司造成的损失分别为488万美元和481万美元。另外,识别和遏制网络钓鱼以及凭据被盗/泄露的时间周期分别长达261天和292天(近10个月)。通过持续的安全意识教育,可以降低内部人员威胁发生的概率,提升员工识别和响应网络钓鱼/社会工程学攻击的能力,使员工养成良好的密码设置、使用与保管习惯,缩短平均检测时间/平均响应时间/平均遏制时间等。在这些方面,安全意识教育的投资回报率比安全技术防御更高,且更有效。

通过安全意识成熟度模型认清现状

SANS提出的安全意识成熟度模型已成为业界广泛参考的标准,它不仅提供了一个基准工具,用于评估和衡量组织当前的安全意识成熟度水平,而且也是一个战略路线图,为组织规划和迈向更成熟阶段指明了方向,同时还是一个沟通工具,用于向利益相关者可视化展示安全意识的发展和成果全景图,五个成熟度级别从低到高依次是:

【零起点】: 组织未开展任何安全意识宣传与培训,员工对于组织的安全策略、流程、制度毫不知情,对安全漠不关心,员工在网络威胁面前是脆弱的,这也意味着内部违规、外部攻击和数据泄露事件屡屡发生。

【关注合规】: 组织仅仅为了达到相关合规/监管/审计要求而开展最基础的安全意识培训和考核,培训通常是临时组织或每年举办一、二次,员工往往是被动应付式参加培训,且不清楚自己的安全角色与责任。
【意识提升与行为改变】: 组织配备了专人全职负责安全意识工作,面向全员开展系统性、常态化的安全意识宣贯、培训和演练,并针对不同岗位及风险特点开展针对性强化培训,鼓励员工在工作和生活中的风险行为改变。员工能够充分理解并遵守安全制度,能够积极配合、发现、预防和报告安全事件。
【长期维持与文化变革】: 组织在强有力的流程、资源和领导支持下,安全意识和安全责任已成为员工的一种自然习惯,这意味着安全文化已成为全体员工的共识,融入到了日常工作中,深刻影响和改变了员工的安全态度、认识、信念、价值观和行为方式。员工清楚地知道哪些态度、行为、做法和习惯是安全的,是组织提倡的、值得表扬的,哪些是不安全的、不提倡的、值得批评的。

【战略度量框架】: 组织形成了一套以数据为驱动的综合度量指标框架,将安全意识工作成果与组织的业务目标和安全目标挂钩,更好地从战略层跟踪、衡量和展示安全意识工作的投资回报率。关于度量指标如何设定,请参历史文章:彻底搞懂安全意识度量指标,看这篇就够了!

向高管展示安全意识成熟度模型,有助于高管更直观地理解人为因素安全风险管理工作的现状、差距和不足,以及未来的发展蓝图和前景。

将安全意识指标转化为业务结果指标

如何通过安全意识度量指标来展示真正的业务价值是一个难题。实际上,安全意识指标可以反映和影响两个结果的好坏,一个是安全结果,另一个是业务结果。例如,钓鱼邮件中招率、钓鱼邮件上报率、钓鱼培训完成率等是最基本的安全意识度量指标,如果仅将这些干巴巴的数据拿给高管层看,基本不太会引起重视和共鸣。而这些关于钓鱼防范的安全意识指标可以转化为影响安全结果的指标,如:网络钓鱼中招事件的减少、识别和响应钓鱼邮件的速度更快、花在钓鱼培训上的工作量、时间和成本降低等。从业务结果影响层面,有效的网络钓鱼防御可以最大限度地降低钓鱼攻击造成的业务运营中断或数据丢失、减少可能的监管处罚、降低网络安全保险费、保护组织品牌声誉、赢得客户信任等等,而这些正是高管层关心的话题。也就是说:安全意识结果会影响安全结果,而安全结果又会影响更广泛的业务运营结果。更高的安全性将转化为更高的生产力和更好的服务交付,最终有助于组织降低成本、降低风险、提升效率、增加利润。
展现安全意识(人为因素风险管理)的商业价值需要安全团队跳出传统惯性思维的束缚,不局限于浅层的数字指标,用以非技术受众能够理解的方式清晰地传达安全意识给业务带来的积极影响。将安全意识指标与安全目标和业务目标相呼应,贴合得越紧,越能支撑业务总目标,越容易赢得高管层的理解和支持。
当充足的理由、清晰的逻辑和详实的数据依然无法说服和打动高管时,安全团队还可以通过现场黑客攻击模拟演示的方式,让高管身临其境地体会到黑客是如何利用员工的安全意识薄弱而轻易突破企业安全防线。另外,还可以尝试“讲故事”的方式吸引高管的注意力和引发共鸣,例如:一家企业如何因为一名员工中招钓鱼邮件而感染勒索病毒,导致业务中断、股价下跌、舆论漩涡、法律诉讼,以及高管引咎辞职等等。通过挖掘隐藏在数字背后的事件和故事,将安全意识教育转化为令人信服的业务价值论证,从而更好地赢得高管层的支持。

标签:网络安全,安全意识,管层,钓鱼,展示,员工,指标,安全,高管
From: https://www.cnblogs.com/o-O-oO/p/18392705

相关文章

  • 网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐
    前言对于想学习或者参加CTF比赛的朋友来说,CTF工具、练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助。CTF在线工具首先给大家推荐我自己常用的3个CTF在线工具网站,内容齐全,收藏备用。1、CTF在线工具箱:http://ctf.ssleye.com/包含CTF比赛中常用的......
  • 多线程下载,并展示下载速度,支持断点下载
    为什么由于下载的文件较大,单线程下载会导致时间较长,影响体验,因此在串行程序基础上引入多线程,提高下载速度;实现功能设置指定下载线程数根据线程进行分段分段下载下载进度展示合并分段清理临时文件分段、合并需要用到RandomAccessFile此类的实例支持对随机访问文件的读......
  • 怎么入门网络安全,学这两类证书就够了NISP或CISP_cisp和nisp2级题库一样吗
    其实网络安全这个门槛,对于当代的年轻人来说,不高也不低。其中NISP证书分为一级、二级、三级(专项),证书由中国信息安全测评中心颁发,持NISP二级证书可与免考兑换CISP证书。因为CISP报考需要工作经验,NISP填补了在校大学生无法考取CISP证书的空白,被称为“校园版CISP”。看到上一......
  • 零基础转行网络安全真的好就业吗?
    网络安全作为近两年兴起的热门行业,成了很多就业无门但是想转行的人心中比较向往但是又心存疑惑的行业,毕竟网络安全的发展史比较短,而国内目前网安的环境和市场情况还不算为大众所知晓,所以到底零基础转行入门网络安全之后,好不好就业呢?今天我们就来全面彻底分析一下网络安全对......
  • 25岁,转行网络安全工程师来的赢吗?
    先说结论:一点不晚!首先说一下这个行业的现状,真正科班出身软件测试专业的很少,因为只有个别院校有这个专业,根据了解也是教的很浅,对接不了企业的需求。那么说根据目前的现状,可以将这个行业的从业者分为这么几类:第一种,应届毕业生,要么是本专业学的就是这个,要么是在毕业之前就有......
  • 我如何在一个月内转行入门网络安全
    首先我们来讲下第一点:网络安全他的一个前景。说到网络安全前景,我们可以从四个层面去分析:首先是国家层面,如果对网安稍微有点了解的同学应该听过“没有网络安全就没有国家安全”的重要讲话。并且呢随着网安法等一系列重大文件相继发布实施。也是为网安企业提供了宝贵机遇。......
  • 当下的网络安全行业前景到底怎么样?还能否入行?
    常听到很多人不知道学习网络安全能做什么,发展前景好吗?今天我就在这里给大家介绍一下。网络安全作为目前比较火的朝阳行业,人才缺口非常大先说结论,网络安全的前景必然是超级好的作为一个有丰富Web安全攻防、渗透领域老工程师,之前也写了不少网络安全技术相关的文章,不少读......
  • 零基础转行学网络安全怎么样?能找到什么样的工作?
    ......
  • 网络安全含金量最高的4本证书:NISP、CISP、CISP-PTE、CISSP(必考证书)
    ......
  • 全国蔬菜批发价格分析与展示平台设计与实现-计算机毕业设计源码+LW文档
    摘 要随着蔬菜行业的迅速发展,对于大量蔬菜数据的深入分析变得尤为重要。数据分析已经成为各行各业的核心,而在蔬菜领域,它扮演着更为关键的角色。了解消费者的蔬菜偏好、蔬菜批发价格趋势、蔬菜热度等信息对于蔬菜领域的运营和提供更优质服务至关重要。本研究旨在构建一个全国蔬菜......