为什么报告网络安全业务影响要从树看森林

2021年的11月5日 詹姆斯奶油

报告网络安全业务影响

你知道,当你坐在一个亲戚旁边的时候,他总是讲不完一个故事,或者一直讲到一个笑话的妙处? 执行董事会会议和季度更新有时会采用这种方式. 有这么多指标可以分享, 网络安全项目负责人很容易陷入技术细节的泥潭,让公司的利益相关者或指导委员会目光呆滞, 或者更糟, 完全质疑这个项目的有效性.

网络安全领导人必须带着强大的力量来到谈判桌前, 然而,简洁, 报告框架和数据集,以建立一个令人信服的案例,并不断证明他们的程序. 但这需要一个视角的转变——因为如果你被困在树上,你就看不到森林.

缩小森林从正确的框架开始

尽管不断发展的数字威胁, 网络安全项目经常被视为一个黑洞:钱进不来, 因为它们不是传统业务的创收部分. 这使得它更加重要 身份及访问管理 (IAM)和其他安全项目可以在更广泛的业务环境中展示其项目的价值——要么是通过金钱的定量方式,要么是通过引人注目的定性叙述方法.

幸运的是, 解决方案是网络安全专业人士已经很习惯使用的:报告框架.

毕竟,每家公司的报告框架看起来会有所不同, 您的组织有一组独特的目标和需求. 但是有几个共同的基本元素应该被合并到任何报告架构中,以帮助展示项目的健康状况和整体价值.

第一个? 定义整个项目的成功对您的组织意味着什么. 你可以问三个重要的问题:

1. 正规博十大app排名是谁?

2. 激励正规博十大app排名的业务计划和目标是什么?

3. 为什么正规博十大app排名要追求这些目标?

你对这些问题的回答揭示了你的业务的优先级和原因. 下一步是深入挖掘,定义最重要的里程碑和指标:

4. 定义了里程碑 或者与工作流程相关的更小的目标和结果, 由程序路线图所包含的系统或过程.

5. 地图每一个里程碑 直接进入你计划要保护的工作流程、系统或过程. 例如, 如果一个关键的项目目标是降低完全接管云的风险, 然后,您需要度量诸如受保护的管理员和特权角色的数量等内容 单点登录 (SSO), 多因素身份验证 (MFA)和 会话保护控制, 以及由特权访问管理(PAM)控制的帐户数量和访问密钥.

下面正规博十大app排名来看看这种方法的实际效果:

网络安全报告框架

为正确的利益相关者提供正确的报告

正规博十大app排名现在开始把注意力转移到森林上,但还有很多工作要做. 每个公司在组织中都有不同层次的利益相关者,他们需要被告知. 他们的角色决定了报告中度量的性质:那些与安全团队关系最密切的人将对细节感兴趣——单个树. 但是你爬的越高,你必须放大的范围就越大. 例如,这位网络安全老手在向高管报告时使用的是一页纸的“垫纸”. 用他的话说, “如果正规博十大app排名不能在一页纸上告诉公司里的一些高管正规博十大app排名做得如何,情况如何,或者他们需要帮助的地方, 正规博十大app排名不配扮演这个角色.”

在大部分公司, IAM领导人通常会定期向四个关键受众报告安全指标. 以下是一些指导方针 定制您的报告 对于每一个级别:

董事或副总裁身份(或类似职务): 与利益相关者, 您通常会定期关注单个“树”——特定指标和里程碑的数据. 报告通常是每月一次, 至少每季度一次, 而且在以后做董事会级别的报告时也将发挥关键作用.

指导委员会: 这个小组由IT和安全领导组成, 项目经理和其他涉众, 您将涵盖相同的指标和里程碑,但也将提升一个级别,以讨论目标和报告与您的安全计划相关的拦截器或问题. 这种会议通常每个季度举行一到两次.

IAM利益相关者的战略业务审查: 现在你要给IAM的领导人做个简报, 领导工程师和主要利益相关者, 以及安全供应商和合作伙伴. 除了向指导委员会提交报告, 你将描述如何推进,以帮助实现公司的期望业务目标和结果. 这些简报通常每季度或每半年举行一次.

c级主管和董事会: 这是整个森林的焦点, 给你的主管或副主管的报告将成为CISO或CIO所做报告的一部分. 董事会将想知道安全事务的整体状态,以及你为实现目标所做的工作对业务的影响,以及他们的安全投资的回报. 董事会通常是一年或半年一次的会议.

注意,在这个过程中,你将逐渐从一开始讨论树木到最后呈现森林. 您开发的报告框架以知情的利益相关者和支持性领导的形式回报其红利.

现在你飞在树梢上

观察整个森林意味着意识到它 不仅仅是 树木. 这种知识使其更加透明, 有效的报告和沟通的所有线和各级业务.

从这里你能去哪里?

  • 不要让这项任务的范围吓倒你. 没错,森林很大,但有意识地转变视角对重新聚焦工作大有帮助.
  • 如果你还没有这样做的话, 开始开发您自己的报告流程, 设置审查节奏,并使用从中收集到的数据推动程序前进.
  • 深入研究 网络方舟身份安全成功蓝图 帮助指导您的路线图,并设置主要目标和里程碑.
  • 查看电子书 确保成功:报告PAM获胜, 讨论了如何定义PAM风险缓解策略, 设计有效的框架, 执行你的报告策略.

前一篇文章
一个100年的植物病害揭示了端点特权安全
一个100年的植物病害揭示了端点特权安全

在20世纪初, 一种鲜为人知的植物病害——白松水疱锈病出现在...

下一篇文章
在诺贝尔奖之光下重新审视云影管理员
在诺贝尔奖之光下重新审视云影管理员

最近发现的一起涉及威胁演员诺贝利亚姆(Nobelium)的攻击活动引起了正规博十大app排名的注意,因为有一个atta...

Gartner将CyberArk列为PAM 2021年魔术象限的领导者

立即下载