Gartner发布网络安全战略规划最佳实践

一致、切合实际的战略规划是首席信息安全官的先决条件。本研究为首席信息安全官提供了通过有效的战略规划建立和持续改进其组织安全计划的最佳实践。

主要发现

• 安全战略规划必须与业务战略保持一致，并适应技术和风险环境趋势。此外，安全战略规划的频率必须能够使安全计划与业务变化的速度保持一致。

• 组织对安全战略规划有不同的解释——这意味着战略计划不存在一刀切的格式。

• 全面了解安全计划的当前状态需要多种评估方法。

建议

为了制定安全战略，首席信息安全官 (CISO) 必须：

• 实施一致且透明的网络安全战略规划流程，在业务环境和安全目标以及具体项目和行动之间保持清晰的联系。

• 对网络安全战略规划流程和相关文件采用模块化方法。这使得网络安全战略能够与组织的战略管理保持一致。

• 至少每季度报告一次战略计划的进展情况，包括重点领域，例如预期和意外的结果以及意外的延误。

概述

战略规划是有效信息安全计划的关键组成部分。尽管网络安全战略规划的基本要素与任何战略规划流程的基本要素相似，但具体的最佳实践对于安全学科来说是独特的。网络安全领导者经常面临战术挑战，阻碍了他们进行有效战略规划的能力。

这项研究概述了一致的方法，并描述了 CISO 应该使用（至少每年一次）的行之有效的技术，以正式制定其安全计划的网络安全战略规划（见图 1）。

图 1：安全策略规划流程

 

作为 Gartner 的 CISO 基础系列的一部分，这项研究广泛借鉴了我们与大型客户社区的交易，包括数百份战略文档审查。它为负责制定网络安全策略的 CISO 提供了经过考验的指导。它提供了有效的战略规划和沟通方面经过验证的实践。

分析

实施战略规划流程，保持业务环境和建议行动之间的联系

一致的网络安全战略规划必须在业务驱动因素、目标、差距以及具体项目和行动之间保持清晰的联系。战略规划过程必须：

• 捕捉业务背景，包括业务、技术和环境驱动因素。

• 定义战略愿景和指导原则。

• 评估当前的风险和安全状态。

• 执行差距分析。

• 优先考虑建议的行动。

• 获得行政批准和预算。

一、捕捉业务背景：业务、技术和环境驱动因素

任何战略规划流程的起点都是确定网络安全计划和相关战略运行的业务环境。可以通过识别和记录代表总体业务战略的关键业务、技术和环境驱动因素来捕获业务背景。

业务驱动因素可能包括：

• 竞争差异化——CISO 必须确定竞争差异化是基于价格、服务、质量领先还是这些要素的组合。

• 市场份额增长战略。

• 并购战略目标可以通过收购（有机增长）或地域扩张（垂直或产品扩张）来实现。

• 产品策略。

• 品牌保护和提升。

• 法律和监管要求。

• 董事会 (BoD) 和其他高级管理人员的普遍风险文化和风险偏好。

有关业务战略的信息来源可以包括现有战略文件、公司年度报告、公司经营管理会议、相关高管的访谈以及企业架构 (EA) 共同要求的愿景。

技术驱动因素通常是 IT 战略和 EA 中固有的。影响网络安全战略规划的例子包括：

• 云采用策略。

• 数据中心整合。

• 技术平台整合。

• 边缘计算。

• 自动化。

• IT 和网络安全运营模式发生变化，例如责任、风险决策流程和外包的变化。

有关技术驱动因素的信息来源还包括IT 战略文件、EA 文件和 CIO 全体会议。

经济、市场、监管、政治和技术环境的破坏和趋势可能会对企业面临的安全风险产生深远的影响。必须评估这些环境中的任何变化，并在适当的情况下在安全策略中进行处理。影响网络安全战略规划的环境驱动因素包括：

• 经济衰退和衰退。

• 经济增长条件。

• 社会政治动荡。

• 地缘政治紧张局势。

• 贸易战。

• 即将发生的监管变化。

有关环境驱动因素的信息来源包括企业风险登记册、威胁情报源、信息共享和分析中心 ( ISAC )、商业和经济媒体以及研究提供商。

列举驱动因素提供了一个将提议的项目和计划与业务环境联系起来的框架。CISO 可以将驱动因素列举为业务（B1、B2、B3 等）、技术（T1、T2、T3 等）和环境驱动因素（D1、D2、D3 等）。表 1 提供了如何在差距分析期间记录关联的示例。

二、定义战略愿景

战略愿景代表了战略在规定时期内要实现的理想状态。网络安全计划的典型目标是建立一个持续、迭代改进的安全解决方案规划、构建和运行方案，与业务需求保持一致。大多数组织将使用国际标准，例如美国国家标准与技术研究所 (NIST) 网络安全框架 (CSF) 或 ISO 27001，作为其未来状态定义的起点。尽管这些标准可帮助组织为战略规划奠定基础，但仍需使您的战略与您的业务目标保持一致。任何标准都应被视为达到目的的手段，而不是目的本身。

组织的愿景（参见图 2）应进行扩展和定制，以提供有意义的目标，可以根据该目标来映射规划流程的其余部分。

图 2：说明性网络安全愿景模型和声明

 

理想状态必须通过一系列必须在规划期间实现的具体目标来完成。这些目标应包括：

• 程序的总体成熟度级别。

• 特定控制、流程和功能的目标成熟度级别。

• 执行领导层设定的商定风险偏好范围内可接受的风险暴露水平。

• 用于改变技术现实的新功能和架构，例如新出现的威胁或颠覆性技术。

• 支持企业发展战略的能力。例如开发将收购的组织集成到公司安全计划中的框架。

这些目标应该被社会化并得到主要利益相关者的同意，通常是在战略规划过程开始时以及在批准执行战略的拟议路线图期间。企业安全指导委员会是这一步的良好论坛。

用编号系统标记这些目标将支持整个规划过程的一致性。可以通过将目标编号为 O1、O2、O3 等来完成标记。

制定这些目标需要了解业务战略、技术和环境趋势，以及这些目标如何影响企业中的信息安全实践。

组织在其网络安全愿景中包含一套指导原则并不罕见。这些原则可以在实际规划过程中提供护栏，并提醒行政领导层支持战略和网络安全计划的原则。这些原则的例子包括：

• 保护信息和信息资源的最终责任由信息和相关资源的所有者承担。在共享信息和资源的情况下，CIO 是代理所有者。安全能力通过 CISO 领导的正式安全计划进行管理和持续改进。

• 企业风险偏好影响所有安全决策，所有安全控制都将与相关风险相匹配。

• 制定信息安全政策、标准、指南和程序，以传达安全要求并指导安全控制措施的选择和实施。

如果有的话，有关企业网络风险偏好的声明应包含在愿景部分中。

三、评估当前的风险和安全状态

没有单一的方法可以评估企业安全的整体有效性和效率。战略规划影响公司风险和安全的各个方面，因此大多数组织结合使用不同的评估类型和证据来描绘安全计划的整体情况，其中包括：

• 漏洞评估和渗透测试来评估技术基础设施。

• 风险评估，以平衡适合实际风险的控制投资。

• 最近的审计结果。

• 控制有效性评估以确定控制实施的成熟度，以类似同行为基准并符合行业标准。

• 项目管理评估，用于评估和衡量网络安全流程和项目的成熟度。安全与风险管理 IT 分数提供了在线安全流程成熟度评估工具。

• 用于将资源与类似同行进行比较的网络安全支出和人员配置基准。

评估活动通常会导致愿景声明的迭代更新，因为新发现的弱点将决定新的目标。

评估活动的结果必须总结为“当前状态”部分，成为战略规划文件的组成部分。与前面的步骤类似，对各个当前状态结果进行编号有助于保持计划的一致性-例如，当前状态可以编号为 C1、C2 等。

四、执行差距分析

差距分析包括根据愿景声明、目标以及关键业务、技术和环境驱动因素绘制当前状态。通过确定当前状态与期望状态之间的差距，CISO 可以得出弥补这些差距所需的行动和项目。

当前状态评估的多样性可能对具体项目或活动的确定提出挑战。一些差距将清楚地表明具体行动——例如，需要为公共云计算制定一项政策。然而，对于已发现的某些差距，适当的缓解活动并不总是显而易见的，例如在两年内将安全治理功能从成熟度 2.5 级提升到 3.5 级所需的行动。

分析通常需要一定量的主观和定性决策，因此涉及适当利益相关者之间的集思广益和讨论研讨会。

差距分析的初始输出将是必须优先考虑的潜在行动和项目的清单。优先排序工作的关键输入之一是各个行动和项目对处理当前状态、目标和驱动因素的贡献程度（见图3 ）。

图 3：差距分析输出示例

 

五、确定拟议行动的优先顺序

很少有组织（如果有的话）拥有执行所有已确定的项目和活动所需的资源。这些必须根据以下标准进行优先排序：

• 给定项目或活动可能实现的风险降低水平。

• 所需的资源，例如技能、人员和系统。

• 财务成本。

• 价值实现时间——即从初始投资到项目开始为组织带来价值的时间点。

在规划期内混合使用较长和较短的实现价值时间的项目是一个好主意。这使得安全计划能够按季度展示有意义的进展，从而更容易维持对安全计划的长期执行支持。

在编制优先项目和活动清单时，保持项目和活动之间的联系以及愿景声明中概述的现状、目标和驱动因素之间的联系非常重要（见图 4）。这种方法确保了规划活动的重点，并在目标、现实和拟议行动之间提供了一条视线。它还支持批准阶段的有效执行沟通。

考虑将长期项目和计划分解为较小的项目。除了最简单的项目之外的任何事情都应该分为阶段和里程碑。

图 4：建议的优先工作组合

 

鉴于当今大多数企业固有的业务、环境和技术不确定性，谨慎的做法是将拟议的行动分为两个部分：

• 高层举措的两到三年战略路线图。

• 包含预算分配的 12 个月详细计划。

六、获得行政批准和预算

规划过程的最后一步是获得行政部门的批准和预算。该战略通常通过书面报告和执行演示来传达。报告和演示文稿应清楚地描述当前和期望的状态，以及项目各自的阶段和里程碑将如何帮助实现期望的状态。

除了这三个部分之外，还可以在适当的时候添加更多信息部分，如本研究中所述。

表达拟议项目将如何为商业价值做出贡献也很重要。通过将提议的项目与业务战略联系起来，这一方面隐含在规划过程中。但是，请在高管沟通材料中明确强调这一点，以确保受众了解这一点。这可以通过多种方式完成，例如，通过投资回报率分析、成本效益分析或 Gartner 4i 模型。

如果在企业环境中使用得当，基准数据（例如预算、成熟度和人力资源）可以证实业务案例。

安全计划的赞助、资助和预算分配是安全治理职能的关键职能。

采用模块化方法制定战略规划流程和相关文件

本研究中概述的战略规划过程是全面的。并非所有企业都以同样的方式解释战略规划的流程或可交付成果。并非所有企业都拥有定期执行全面战略规划工作所需的资源。因此，调整规划过程以适应当地的实际情况。例如，并非所有企业：

• 将战略原则纳入其战略计划中。

• 制定网络风险偏好声明。

• 拥有执行多项现状评估的资源。

• 将他们的行动计划分为两个路线图。

• 拥有执行详细业务价值计算的资源。

一些组织采用模块化方法。这意味着他们为以下内容发布单独的文档：

• 总体战略，包括执行摘要、业务背景（业务、技术和环境驱动因素）、愿景和未来状态。

• 记录当前状态、差距分析和两到三年的高层路线图。

• 用于预算目的的一年详细路线图。

表 1 概述了战略规划文件和演示分类的关键基础部分。它还包括可以添加到这些部分的潜在元素。

表1 ：战略计划文件和演示分类

基础部分	潜在组件
执行摘要	业务背景 目标和未来状态 当前状态 建议 商业价值
业务背景	业务驱动力 技术驱动力 环境驱动因素
未来状态	愿景和使命 图解视图 指导原则——而非说教 风险偏好
当前状态	以下一项或多项： 漏洞评估 能力成熟度评估 网络安全控制实施成熟度评估 风险评估 审计结果
差距分析和业务影响	非优先行动和项目清单
行动	路线图——两到三年 一年预算计划
商业价值	商业价值模型 投资回报率预测 成本效益分析 基准数据
赞同	行政支持 预算

资料来源：Gartner（2023 年 8 月）

根据战略计划审查并报告进展情况

维持对安全计划的支持的一个关键部分是有效且持续地报告计划的进展情况。有多种方法可以审查和报告进度，例如通过平衡记分卡、治理、风险与合规性 (GRC) 生成的报告，或利用结果驱动指标的内部开发的仪表板。

为了保持网络安全领导团队的可信度，尽可能保持报告策略的诚实非常重要。明确：

• 全部或部分实现的预期效益。

• 未实现的预期效益。

• 意想不到的好处实现了。

• 意想不到的问题或缺点出现了。

• 尚无定论的项目。

• 可能需要更改策略的安全响应或挑战的触发因素。

应每季度报告进展情况。报告活动通常会强调需要调整或完善总体策略的问题或不断变化的情况。

大多数安全战略计划每年制定一次，有时每三到五年制定一次。新冠疫情大流行加剧了与数字化相关的变革速度。明确的年度战略计划不一定是敏捷的。

安全领导者必须举办季度审查和情景规划研讨会。这样做是为了确定内部业务或数字环境中发生了什么变化（如果有的话），从而需要对当前策略进行调整。这一审查过程还应确定任何影响重大的外部趋势或事件的关键领先指标，这些趋势或事件将需要重大的安全战略和路线图变化，例如即将到来的经济衰退。

研讨会的结果必须得到企业主要利益相关者的验证——如果可能的话，包括首席运营官、首席营收官或销售副总裁、首席风险官、首席财务官、隐私官、法律顾问、首席信息官和 EA 负责人。这些讨论应包括是否应对一种或多种已确定的场景进行风险和业务影响评估。

根据这些评估的结果或是否出现触发事件，应调整安全路线图以反映对新功能、策略和控制的投资。这样做有助于企业应对不断出现的新情况。

一些需要避免的常见陷阱

不要过分强调通用基准测试数据。例如，安全支出占 IT 支出的百分比。相反，请确保战略符合组织独特的文化背景和业务需求。基准测试和调查数据提供了有价值的指导信息。然而，这种类型的数据本质上是平均的和概括的。最有效的安全计划策略基于企业的业务环境。CISO 应避免：

• 将规划流程作为单方面的工作来执行，很少甚至根本不考虑其他业务或 IT 战略，或者未能与关键利益相关者合作来验证观点。其他战略规划举措（例如 EA）可以提供有意义的背景。

• 制定一个过于雄心勃勃、不切实际且从技术或文化角度来看无法实现的愿景。虽然战略中的抱负值得称赞，但所有目标都应该在规划范围内轻松实现。

• 说教——即使用该战略对非专家进行安全概念教育。

• 在确定优先级阶段不够坚定。这可能会导致许多高优先级项目被纳入短期规划范围——在进度报告方面具有可预测的结果。计划的活动必须与实际的资源可用性相对应。

• 未能将大型计划分割成更小、更容易实现的项目或明确划分的项目阶段。更精细的计划可以改善控制，并更轻松地在更短的时间内交付价值。

• 过于专注于你的同事而排除其他信息来源。在许多情况下，不良的安全实践之所以盛行，是因为公司只关注其他企业正在做的事情，而不是与自己组织独特的业务环境保持一致。这有时会导致多年修正过程中的计划不成熟。

• 未能制定考虑多种选项供执行人员考虑的计划。企业承担风险，应该向其提供投资选择，以显示时间、资金和资源与预期风险管理结果之间的权衡。

结论

信息安全的战略规划应基于总体规划原则，并考虑安全学科的独特要求。

该计划将延续到未来两到三年，必须规划出将在特定时间范围内进行的预期活动，努力实现所需的终点。至少，应该每年（如果不是更频繁的话）重新评估，以便根据不断变化的条件、目标、成功或失败进行路线修正。

战略规划并不是一门完美的科学——安全领导者通过实践和经验来提高他们的规划能力。