为什么我们认为属于网络安全的时代已经过去了？

企业在网络安全方面的投资比以往任何时候都多，但我们也看到了创纪录的违规数量。据报道，去年有51亿多条个人信息被盗，平均违规成本已攀升至435万美元。

 网络安全威胁行为者变善良了吗？或者这是一个商业失败？

 不可否认，网络罪犯已经变得更有组织，更先进的工具和战术越来越容易使用。但所有这些数十亿美元没有对违规数量产生影响的真正原因是，资金往往没有以正确的方式使用。

 有一个巨大的高质量解决方案市场正在寻找解决网络安全问题的方法，但简单地向它们投入资金最终不会改变安全状况。必须正确实施解决方案才能真正帮助解决问题。

 这就是安全操作概念的由来。

 将安全性与核心业务基础联系起来

 每个企业都需要在几个核心业务的基础上取得成功。

 这包括商业文化——将所有人聚集在一起并使他们愿意在那里工作的一套价值观——以及每个人对自己的角色所承担的责任。

 然后是业务运营的流程，以及支持这些流程的资源——所有这些都越来越容易通过自动化实现。最后，所有业务活动都需要产生可测量的输出。

 所有这些结合在一起形成了组织的战略，像一颗北极星，它赋予了组织目标并确定了其方向。

 网络安全是一个独特的命题，因为它与这些核心基础中的每一个业务都有联系。最终，除非具备这些要素，否则任何安全战略都不可能成功。

 使网络安全符合业务指标

 实现网络安全的第一步是开始像其他商业投资一样思考网络安全。不幸的是，网络消费几乎是随机的，没有目标。当然，这也意味着对绩效和结果的有效衡量很少。

 很难想象其他任何商业元素会以这种方式运作，特别是在支出持续增长的情况下。

想象一下，一位销售总监要求将团队人数增加一倍，但一年后这项投资并未带来任何收入增长。大多数公司都会立即让销售总监离开。

 然而，在网络安全方面，大多数公司将继续向新的解决方案投入资金，而不清楚自己的安全状况是否有所改善。事实上，许多组织缺乏有意义的指标来衡量其投资是否有任何回报。

 因此，衡量的指标必须是安全运作的首要任务。实现这一目标的指标需要侧重于降低风险。公司需要有一个坚实的概念，知道他们在为每一个安全元素做预算时试图保护什么，以及为什么要这样做。

 企业需要确定哪些业务功能受到违规行为的影响最大，以及此类事件对业务运营的影响。基于这种理解，企业可以逆向工作，构建一个安全战略，以缓解这些高优先级风险。

 对于其他业务要素，企业知道当其运营中的某个要素明显会亏损时，应调整哪些杠杆。有些风险可以缓解，有些风险可以接受，有些风险则可以转移——同样的思维过程也需要应用于网络安全。

企业文化和问责制是关键

 随着公司对其网络风险优先事项的认识不断提高，他们也应该熟悉自己的成熟度水平。这不是一个单一的衡量标准，而是适用于每一个核心基础——企业文化、问责制、流程、资源、自动化和衡量。

企业在一个领域的网络风险应用可能比另一个领域更成熟。也许它已经建立了成功的自动化，但缺乏问责制。或者反之亦然。

 虽然某些业务方面更容易定义，但其他方面则更模糊。在安全方面，文化往往是一个模糊的概念，在特定的安全角色之外，问责制也往往没有定义。

 这里一个有用的方法是在整个组织中建立与安全相关的各种角色，并为每个角色创建一个文化记分卡。更重要的利益相关者，如执行领导层，应该具有更高的成熟度水平，而对更一般的员工来说，这并不重要。如果一个部门的成熟度和责任感明显低于您所需的水平，那么是时候开始实施培训等措施来改善情况了。

 适应商业文化从来不是一个快速解决方案，因此企业应该预计这是一个渐进的过程，至少需要12-18个月。

与此同时，企业可以开始实施可靠的指标，以有效跟踪其解决方案的投资回报率（ROI）。安全关键绩效指标（KPI）应以非技术领导层和利益相关者能够理解的方式与业务影响紧密相关。

 平均分辨时间（MTTR）是最有用的例子之一。在网络环境中，这意味着从识别威胁或漏洞到关闭它之间的时间。但它在其他业务问题的更广泛背景下也得到了很好的理解。

打破网络安全支出循环

 很明显，面对同样飞涨的安全风险，飞涨的网络安全支出是不够的。这种方法是不可持续的——特别是随着业务技术本身在过去几年中随着云迁移和远程工作等因素的迅速变化。

 套用爱因斯坦的话：我们不能用我们创造问题时使用的那种思维来解决问题。

 企业需要后退一步，开始运营其信息安全性，而不仅仅是再增加一年的预算。是通过追踪网络安全与核心业务基础的联系，企业可以开始确保其投资在降低风险敞口方面取得了真正的成效。