搜尋

會員登入

搜尋

導覽

會員

利用Cybersecurity Compass消除沟通落差

网路资安的最大挑战之一,就是如何消除技术与非技术人员之间的沟通落差。拥有共通的语言对网路资安非常重要。技术专家经常从威胁、漏洞及技术解决方案的角度来讨论网路资安,这对非技术领导人来说可能太过复杂。然而,非技术性高阶主管最关心的议题也许是业务冲击、法规遵循以及财务风险。


本文将探讨 Cybersecurity Compass 如何提供一个能协调这两种观点的共通架构,以确保网路资安策略与业务目标一致。为此,我们将深入探索 Cybersecurity Compass 的内部机制。从 Cybersecurity Compass 切入并聚焦资安事件发生之前、发生期间,以及发生之後的三个阶段来讨论并拟定策略。如此可确保网路资安管理的每一个面向:从主动措施到被动回应及持续改善,都能获得完整讨论,并将这些层面对应到人员、流程、技术,以及领导阶层。


网路资安是企业内每一个人的责任,而非只有 IT 部门。网路资安风险应被视为一项业务风险,而非单纯的技术风险。这意味着,所有层级的领导人都必须叁与对话。有效的领导,对建立资安文化、并确保网路资安策略能融入整体业务营运至关重要。


聆听与共通语言的重要性

在开始讨论方法与如何使用 Cybersecurity Compass 之前,我们先讨论一下在叁与并指导这类对话时经常遇到的一个问题,那就是:聆听的重要性。


有效的沟通是一条双向道,尤其在消除技术与非技术人员之间的落差时。「聆听」对於确保双方都能了解彼此的观点,并且共同有效拟定网路资安策略至关重要。正如 Otto Scharmer 在他的 Theory U 理论中所言,聆听有不同的层次,这会影响我们互动的品质与成果。


聆听是最常被忽视的一项领导技巧,优秀的领导者都知道,聆听不只要听对方说些什麽,还要了解话中的含意和情绪。藉由主动的聆听,领导者就能营造一种更包容、更活跃的环境来促进创新与韧性。


当技术专家与非技术领导人在讨论网路资安时,双方都必须觉得对方有听到自己的声音。技术团队必须听到业务领导人的疑虑和优先次序,才能让资安措施与业务目标一致。反之,非技术性利害关系人必须了解技术上的限制与必要性,才能体会企业资安的复杂性。


聆听能促进彼此合作,确保所有声音都能被听到并获得重视。这种包容的作法能带来更全面、更有效的网路资安策略。当团队能有效合作时,就能善用不同的观点和专业能力,更主动地预测及解决潜在的威胁。


主动聆听有助於建立技术与非技术团队之间的信任。当非技术主管觉得他们的疑虑获得认同和解决时,他们就比较会支持并将资金投入网路资安计画。另一方面,当技术团队能展现他们了解并重视业务的需求时,就能获得业务部门的信赖与配合。


常见的偏见、假设与心态

根据我们的经验,发现还有另一个挑战是认识并解决偏见、假设和心态的问题,这对技术与非技术人员之间的有效沟通至关重要。以下是一些常见的问题:


技术人员:

· 复杂性偏见:假设较复杂的解决方案一定比较好。


· 术语假设:喜欢使用技术性术语,并假设每个人都听得懂。


· 解决问题偏见:专注於解决技术问题,却未考量到业务冲击。


· 独立性假设:相信网路资安是单纯的 IT 问题,而非企业整体的问题。


非技术人员:

· 过度简化偏见:低估网路资安问题的复杂性。


· 成本规避:基本上将网路资安视为成本中心,而非必要的投资。


· 过度自信偏见:假设现有的资安措施已经足够,却不了解潜在的漏洞。


· 委任假设:相信网路资安可以完全委由 IT 部门处理就好,不需其他部门的积极叁与。


· 业务背景偏见:假设技术团队缺乏业务背景,只专注於技术层面。



图一 : The Cybersecurity Compass
图一 : The Cybersecurity Compass

如何使用 Cybersecurity Compass

既然了解聆听的重要性,并知道一些偏见以及技术与非技术人员心态,接下来就可以开始使用 Cybersecurity Compass。


Cybersecurity Compass的设计目的是要为网路资安建立一个共通的语言。这套框架最基本的观念就是:在网路资安的世界里,我们必须随时保持警戒,并假设资安事件随时可能发生。这意味着,我们随时要以资安事件发生之前、发生期间,以及发生之後三个面向来思考。针对这每一种持续的状态,我们需要考虑资安工作所需要的人员、流程和技术。为整合这些元素,我们需要有一些共通的问题来引导我们的讨论。


我们将从 Cybersecurity Compass 切入,聚焦资安事件发生之前、发生期间以及发生之後的三个阶段来进行讨论并拟定策略。如此可确保网路资安管理的每一个面向:从主动措施到被动回应及持续改善,都能获得完整讨论。为此,我们将深入探索 Cybersecurity Compass 的内部机制。


资安事件发生之前:主动的预测性网路资安风险管理


图二 : 资安事件发生之前,主动的预测性网路资安风险管理
图二 : 资安事件发生之前,主动的预测性网路资安风险管理

在资安事件发生之前主动采取一些措施非常重要,此阶段最重要的是要了解「问题不是资安事件会不会发生,而是何时会发生」。对话首先应从可指引策略的一些关键问题开始:


人员:谁该叁与?

· 哪些是网路资安计画当中的关键人员?


· 我们如何训练员工辨认及回应网路威胁?


· 我们企业定义了哪些网路资安角色与责任?


· 谁负责每天检查我们的网路资安风险?


流程:该怎麽做?

· 如何找出并解决网路资安风险?


· 多久检查一次网路资安风险?


· 有哪些措施可以让系统随时保持更新?


· 如何随时盘点及情境化数位资产,并评估其价值?


· 如何追踪我们的网路资安风险?多久评估一次?


· 目前的资安风险程度为何?我们与业界其他企业相比如何?


· 如何管理我们的网路资安风险,还有,我们有什麽长期管理计画?


· 如何提供业务冲击与情境来计算我们的网路资安风险?


· 如何计算所有数位资产的网路资安风险?


技术:需要什麽工具和技术?

· 使用什麽工具来监控我们的网路资安风险?


· 使用什麽工具来搜集威胁资讯,并监控我们的系统?


· 如何确保我们技术的安全?


资安事件发生期间:被动的防御式侦测及回应


图三 : 资安事件发生期间,被动的防御式侦测及回应
图三 : 资安事件发生期间,被动的防御式侦测及回应

在资安事件发生期间,侦测及回应至关重要。此处的对话重点在於企业侦测及回应资安事件的速度及成效。指引此阶段对话的关键问题包括:


人员:谁该叁与?

· 我们的事件回应团队有谁?


· 我们在事件发生时如何与利害关系人沟通?


· 我们是否拥有一套明确的事件回应指挥系统?


流程:该怎麽做?

· 我们的事件回应计画为何?


· 如何即时侦测及分析可疑活动?


· 如何侦测及回应所有数位资产上的活动?


· 我们隔离受害系统的程序为何?


· 我们的平均侦测时间(MTTD)及平均回应时间 (MTTR) 如何?


技术:我们需要什麽工具和技术?

· 我们使用什麽监控工具来侦测资安事件?


· 我们如何确保我们的事件回应工具确实有效?


· 我们的系统能否对潜在的资安事件发出即时警报?


资安事件发生之後:复原及改善网路资安韧性


图四 : 资安事件发生之後,复原及改善网路资安韧性
图四 : 资安事件发生之後,复原及改善网路资安韧性

资安事件发生之後,对话的重点将变成复原与持续改善。对话内容应包括企业将如何复原,以及从中学到什麽教训让我们能提升未来的韧性。此阶段的关键问题包括:


人员:谁该叁与?

· 由谁负责带领复原工作?


· 我们如何支援受影响的员工和利害关系人?


· 事件之後该举办什麽教育训练或意识提升计画?


流程:该怎麽做?

· 该采取什麽步骤从资安事件中复原?


· 如何执行事件後续分析?


· 根据我们所学到教训,流程可以做哪些改善?


技术:我们需要什麽工具和技术?

· 使用什麽工具来复原系统与资料?


· 如何更新技术以防止未来再发生资安事件?


· 备份及复原解决方案是否有效?


挑战假设

为了有效运用 Cybersecurity Compass,持续挑战我们的假设至关重要。如此能随时确保策略的完善,并能适应不断演变的威胁。以下是一些可协助我们在人员、流程及技术方面挑战既有思维的问题:


人员:

· 我们是否已将所有必要的利害关系人纳入网路资安计划与应变工作当中?


· 我们的训练计画是否随时保持更新并解决最新的威胁?


· 我们的事件回应团队是否有能力迅速有效地采取行动?


· 是否有适当的人员带领并支援我们的复原工作?


· 还有谁该叁与我们的网路资安策略?


· 我们是否有效地留住网路资安人才?


· 我们如何确保网路资安团队的持续训练与发展?


· 是否有任何尚未考虑到的挑战可能会影响我们的人员?


流程:

· 我们的风险评估与管理流程是否有效并定期进行测试?


· 我们的流程是否符合产业最隹实务原则?


· 我们的事件回应计画是否定期测试并更新?


· 是否具备有效的威胁侦测及隔离流程?


· 是否有执行彻底的事件後续分析,并实施改善?


· 多久会根据学到的教训更新一次复原计画?


· 多久会测试一次流程?


· 是否可以采取一些更主动、更预测性的作法来管理网路资安风险?


· 是否有任何尚未考虑到的挑战会影响我们的流程?


技术:

· 我们是否正在使用市面上最棒的威胁侦测及监控工具?


· 多久评估并更新一次我们的资安技术?


· 我们的监控工具是否有效,并提供适时的警报?


· 我们的事件回应工具是否能有效率地防范损害?


· 我们的复原工具和备份解决方案是否有效可靠?


· 我们如何更新技术以防止未来再发生资安事件?


· 我们是否使用了适当的技术?


· 是否有整合我们的技术来提升效率并降低复杂性?


· 我们是否有消除障碍来确保技术平台之间的整合与通讯更顺畅?


· 是否有任何尚未想到的挑战会影响我们的技术?


这只是一个开端...

Cybersecurity Compass 是一套强大的工具,能消除技术与非技术人员在讨论网路资安策略时的落差。只要企业能聚焦资安事件发生之前、发生期间,以及发生之後的阶段来解决人员、流程及技术方面的关键问题,就能实现一套全方位的网路资安风险管理方法。拥抱资安事件无可避免的心态,并为此做好万全准备,就能大为提升企业对抗网路资安威胁的韧性。企业若能将 Cybersecurity Compass整合至策略当中,就能有自信且有效地应付网路资安管理的复杂性,确保所有利害关系人的彼此合作与互相理解。请记住,网路资安是每一个人的责任,而有效的领导是建立资安文化的关键。


Card Image

PIC32-BZ6:新一代高度整合单晶片无线平台

随着智慧设备的射频(RF)设计复杂性日益增加,传统无线解决方案通常需要多晶片组合才能新增功能,或频繁重新设计才能满足不断升级的行业标准。为此,Microchip推出全新高度整...

随着智慧设备的射频(RF)设计复杂性日益增加,传统无线解决方案...