不受信任的安全团队被遗弃出业决策
据Ey的最新全球信息安全调查(GIS)称,尽管发生了颠覆性的网络攻击,但勉强的数字业务计划包括安全团队,从一开始就包括安全团队,将门进一步开放更大的风险。
Ey谈到了世界各地的近1300个安全领导者,发现60%的人报告了过去12个月内对其组织的破坏性袭击程度增加,其中几乎一半来自有组织的网络犯罪团伙或黑客文学群体。
然而,它还确定了网络安全团队和C-Suite之间的海湾,特别是作为组织合规活动的一部分,借鉴了网络安全的传统观点,通过核对清单方法突破而不是纳入开始。
在77%的病例中,Ey报道,安全支出是由防守优先事项,风险和遵守的推动,而不是通过创新或数字转型的机会。
“这不是可持续模式。如果我们希望领先于威胁,我们必须专注于通过设计创造安全文化,“ey全球网络安全铅,咨询,克里斯·莱吉约
“这只能完成,只有在安全功能和C-Suite之间成功介绍逻辑并使首席信息安全官员[CISO]以顾问和推动者代替陈规定型路障,只能完成。”
“如果我们希望领先于威胁,我们必须专注于创造设计的文化设计”Kris Lovejoy,Ey除了C-Suite之外,EY发现的安全团队通常与邻近职能(如邻近的职能),审计,风险和法律,但他们倾向于与业务的其他部分断开连接,特别是那些倾向于更具创新性和更具创新性的功能风险和控制安全预算的风险。
四分之三的受访者表示,他们与营销团队的关系处于最佳中立,如果不是彻头目不信任,64%的人说他们的研发团队也是如此。接近60%的人表示,他们与金融部门的关系也得到了紧张。
“随着公司经过转型,所需要的是建立在组织的各种功能上的信任关系,从董事会层面开始,以便网络安全被建立为一个关键值推动器,”Lovejoy说。
“董事会,高级管理团队,Cisos和领导者整个业务必须合作,以便在业务转型和创新的核心处定位网络安全。”
EY说,包括新举措的安全可能是将网络团队作为数字推动者建立的一个关键方法,但它还建议了组织应该采取的其他几个步骤。
除了建立更受信任的关系来帮助其他部门了解安全风险如何影响它们,健康的企业将搬到实施适合用途的治理结构,专注于增加董事会与安全的参与,以及审计安全团队的优势和弱点更好地了解它需要最有效的工作。
对于安全团队,特别是Cisos,与其他业务建立更好的关系,也需要他们成为所谓的“转型代理商”,这将需要新的心态,以及沟通,谈判和沟通等领域的新技能。合作。
“将成为变革强大的Cisos将是那些而不是对新倡议表示”不“的人表示”是的...“,”报告的作者写道。