信息來源:安全牛
根據(jù)一份新的報(bào)告指出,評(píng)估 IT 安全計(jì)劃的價(jià)值通常很困難,因?yàn)?“脫節(jié)的” (disconnected) 安全專業(yè)人員會(huì)根據(jù)關(guān)鍵績(jī)效指標(biāo) (KPI) 工作,而關(guān)鍵績(jī)效指標(biāo)不能很好地轉(zhuǎn)換成業(yè)務(wù)術(shù)語。該報(bào)告警告道這種情況正在使安全從業(yè)人員邊緣化并質(zhì)疑自己的專業(yè)價(jià)值,導(dǎo)致他們的倦怠。
在 Thycotic-Sapio 網(wǎng)絡(luò)安全團(tuán)隊(duì)的《成功指南》(Guide To Success) 里,來自五個(gè)國(guó)家(包括澳大利亞和新西蘭)的 565 位 IT 決策者中,有 44% 的受訪者表示,他們對(duì)組織機(jī)構(gòu)中其他部門對(duì) “成功” 定義并不太清楚,而有 43% 的人表示沒有人向他們傳達(dá)總業(yè)務(wù)目標(biāo)。
報(bào)告指出,安全團(tuán)隊(duì) “每天專注于應(yīng)對(duì)直接威脅和事件,導(dǎo)致他們與業(yè)務(wù)脫節(jié)”,只有 21% 的 IT 決策者認(rèn)為他們的角色或團(tuán)隊(duì) “始終符合業(yè)務(wù)目標(biāo)”。
預(yù)算和戰(zhàn)略實(shí)踐迫使 IT 從業(yè)者在宣傳他們的成就時(shí)嚴(yán)重依賴他們過去的成就——48% 的人在宣傳過去的成功和投資回報(bào)率。
約有 44% 的人依賴其對(duì)于生產(chǎn)率和效率的改善,而 40% 的人則宣傳他們?cè)谔嵘弦?guī)性和降低罰款風(fēng)險(xiǎn)方面的價(jià)值。并且有 40% 的人認(rèn)為,他們致力于保護(hù)客戶數(shù)據(jù),證明在安全方面支出的合理性。
大約有 89% 的人用自己的 KPI 衡量他們的成功——然而,盡管有這些技術(shù)細(xì)節(jié)和其支持帶來的營(yíng)收效益,很多安全從業(yè)人員仍然努力在其過去的方案和他們帶來的業(yè)務(wù)受益之間建立聯(lián)系。
事實(shí)上,45% 的受訪者表示,他們無法知道過去的安全措施對(duì)公司產(chǎn)生了什么影響。52% 的人很難將他們的安全計(jì)劃和內(nèi)部 KPI 與企業(yè)的總體目標(biāo)保持一致。
Thycotic 的首席安全科學(xué)家和 CISO Joseph Carson 表示:IT 安全專業(yè)人員工作具有響應(yīng)的特性,導(dǎo)致他們會(huì)不斷地回顧過去的成就來證明自己的價(jià)值,而這與組織機(jī)構(gòu)的現(xiàn)狀和成功沒有任何關(guān)系。
這種脫節(jié)不可避免地使他們處于不利地位,讓他們難以在執(zhí)行董事會(huì)或其他部門的同事面前留下積極的印象。
這種持續(xù)的困擾對(duì) CISO 的身心健康產(chǎn)生了不利的影響,他們和其他安全從業(yè)人員一樣,面臨著精力枯竭和任期太短而無法做出有意義的改變的現(xiàn)實(shí)問題。
在壓力倍增的時(shí)候獨(dú)自前行
足足有 42% 的受訪者表示,越來越多的合規(guī)和監(jiān)管要求已成為他們工作中帶來最大壓力的部分,而 45% 的受訪者表示,長(zhǎng)時(shí)間工作和業(yè)務(wù)導(dǎo)致的倦怠和壓力,關(guān)乎員工的去留。
40% 的受訪者認(rèn)為,缺乏高層領(lǐng)導(dǎo)的支持是影響員工去留的另一個(gè)關(guān)鍵因素——這支持了安全人員必須得到上級(jí)的積極支持,以提高他們的工作滿意度和留任意愿的觀點(diǎn)。
事實(shí)上,當(dāng)被問及 “成功” 在他們看來是什么樣子的時(shí)候,澳大利亞受訪者最可能將達(dá)到董事會(huì)的績(jī)效目標(biāo)列為最重要的因素——有 50% 的受訪者將其列為最重要的因素,遠(yuǎn)高于全球 40% 的平均水平。
然而,被公司重視也同樣重要,45% 的受訪者說這種價(jià)值感能夠幫助他們平衡工作壓力。
Carson 表示,制定全公司范圍的網(wǎng)絡(luò)安全計(jì)劃是彌合這些文化差異的寶貴方法。
各組織機(jī)構(gòu)應(yīng)任命精通技術(shù)并善于溝通技的網(wǎng)絡(luò)安全代表,以加強(qiáng)跨部門合作,對(duì)任何異?;顒?dòng)進(jìn)行及時(shí)預(yù)警。這樣做有兩個(gè)好處,一是能夠更積極主動(dòng)地保障IT安全,二是減少安全問題對(duì)業(yè)務(wù)的潛在影響。