网络安全合规工具

建立网络安全合规计划

我们购买了所有这些网络安全工具。怎么办?

近年来,公司已经购买了大量网络安全工具来应对不断变化的威胁形势。黑客变得越来越老练——公司正在向安全产品和解决方案投入大量资金,以防止他们在新闻中最常听到的那种攻击。

一些趋势已经融合。一方面,远程工作人员数量的增加推动了公司管理最终用户设备的方式发生了重大变化。这迫使基本的防病毒解决方案成为托管检测和响应 (MDR) 平台。各种规模和行业的公司都不得不为基本的基础设施和应用程序采用漏洞扫描程序。企业采用 SD-WAN 和 SD-LAN 等复杂网络技术以及将工作负载迁移到云,进一步复杂了公司管理其安全堆栈的方式。许多人选择快速采用 SASE、XDR、CASB 和其他不胜枚举的“解决方案”。坐在这一切之下的是身份治理的大黄蜂巢。

研究表明,改善网络安全的工具的激增正在消耗安全预算的很大一部分,并将继续增长。到 2024 年,企业在网络安全工具和技术上的支出可能会超过 1000 亿美元。

Cyber​​security-Compliance-Tools-1
资料来源:Statista。 2021. 经许可使用

尽管有这些投资, 公司继续以惊人的速度经历安全事件.我们认为这是因为未能正确定义、实施和执行闭环合规流程。

网络安全合规挑战

随着组织加快其数字化转型计划并将越来越多的工作负载转移到云中,合规性方面出现了相当大的差距。伴随采用敏捷实践而发生的变化步伐使问题更加复杂。当 IT 组织忽视稳健合规性所需的基本阻止和解决措施时,他们往往面临更大的安全漏洞风险。漏洞管理计划仅与用于授予、记录和持续审查修补策略异常的流程一样好。

许多公司都在努力尽量减少例外情况。例如,由于满足开发的压力,产品团队经常拒绝清理他们的代码,并允许异常无限期地存在。过度异常的另一种常见情况是,当车间经理试图平衡准时制制造和交付与合同规定的服务目标和所需的维护窗口时。

使问题更加复杂的是企业缺乏对弹性的关注,并且需要在发生严重事件时快速恢复。  

评估您的合规能力

为了确定, 工具投资是合规生命周期的组成部分.然而,我们经常看到公司忽略了周期的持续审查部分,并且卫生状况不佳,导致完全可以预防的违规行为。在采用多供应商模式来交付 IT 服务的组织中,这个问题似乎特别棘手,供应商尽量减少实现合规性的努力,并限制其控制平台的问责制。在过去的 18 个月中,我们看到许多 CISO 组织都在为这个问题而苦苦挣扎。

ISG 可以帮助您识别服务交付模型中的合规性问题和差距。我们通过三个步骤帮助企业改进其合规计划:

  1. 分析安全运营模式、漏洞管理和合规计划。
  2. 利用最佳实践 IP 和 ISG 的合同数据库快速解决当前的合规差距并帮助实施闭环合规流程。
  3. 制定战略路线图,使合规职能与 CISO 的任务保持一致,确保在生态系统中的所有平台和供应商之间实施有凝聚力的合规计划。

联系我们 了解我们如何帮助您评估您目前所处的位置以及您需要去的地方。

关于作者

Doug 目前领导 ISG 网络安全部门,并提供网络安全战略、大规模转型项目、基础设施、数字支持、关系管理和服务交付方面的专业知识。客户受益于 Doug 多年来与生命科学、汽车制造、航空航天、银行、保险、金融服务、医疗保健、公用事业和零售行业的全球客户合作的专业知识,以及他对服务提供商市场的深入了解。 Doug 定期执行战略和评估工作,以帮助客户了解如何选择最佳组织和运营模式来满足其业务需求,同时最大限度地减少安全风险和损失风险。

领英简介