「安全」和「OT」幾近拉上了等號，根據最近的問卷調查，5個CISO中就有1個每星期工作65小時，而非合約列明的38或40小時，每星期平均超時工作16小時，其他資安員工也有類似情況，如果想改善情況，不妨先從最佔時間的工作著手。

安全警告

最理所當然地獲得「最花時間」冠軍寶座的必定是由公司IT和資安系統產生的警告，由於系統數量眾多，他們產生數以千計的event需要處理，每名保安專家每小時需要檢視23宗警告，有38%受訪者表示即使晚上仍然需要繼續處理。

建議

• 盡量使用相同公司的方案，中央管理平台綜合警告系統以降低警告的數量和提升處理速度。
• 採用自動化方案，例如XDR方案自動執行典型分析和回應情況，透過合併不同event為單一incident以減少警告。
• 考慮MSSP、MDR或商用SoC，這是最有效靈活擴展警報處理，全職團隊成員將會專注於建立整體安全和調查複雜事件。

有警告的電郵

來自供應商、監管機構的通知，以及保安系統透過電郵發送訊息給資安團隊，通常這是個共享的信箱，相同訊息被幾位員工閱覽，包括CISO，每星期可能花費5至10小時。

建議

• 盡量把警告移交到專門系統，如果保安系統能發送警告到SIEM或dashboard，總比電郵好。
• 使用自動化系統，部份典型電郵分析可透過簡script進行，並轉化到dashboard內的警告，不適用的電郵會就緊急性和主題評分，再移到特定資料夾或派到給特定員工，此工作無需AI機械人，電郵處理規則或簡單script就能辦妥，此舉能顯著降低需要閱覽和全人手處理的電郵數量。

員工標記的電郵

如果公司有推行資安培訓或受到嚴重攻擊，很多員工會考慮把可疑電郵轉寄給資安團隊，這類員工越多，郵箱就越快爆滿。

建議

• 在電郵gateway等級使用可靠的保護方案，可顯著減少真的網絡釣魚電郵，透過專門防禦機制也能防範精密的針對性攻擊，同時對高警覺性的員工沒有影響。
• 如果電郵保安方案容許用戶「報告可疑電郵」，指示同事使用這功能就無需手動處理有關的警告。
• 設立專門的電郵地址專為接收員工發過來的可疑電郵，避免與其他安全警告混在一起。
• 如果報告可疑電郵功能並不可行，專注於搜尋特定郵箱內已知的安全電郵，通常停了很大比例，然後資安團隊只需檢真真正危險的電郵。

禁止、風險評估和風險談判

CISO工作的一部份，就是必需在資訊安全、營運效率、法規遵守和資源限制中取得平衡，要提升安全，資安團隊經常禁止某些技術、網上服務和資料儲存方式等等，儘管是必需和無可避免，也應該定期檢討對機構的影響和機構如何適應，矯枉過正只會浪費寶貴時間，先協說「不應該做的事」，然後找出處理方法，再解決不可避免的事件和問題。

建議

• 避免過度禁止，越多禁制便需要越多時間去監管。
• 與主要用戶保持開放的對話，瞭解資安管制如何影響他們的運作和表現，透過調節技術和流程去避免有關問題。
• 為經常性的業務請求制訂標準文件和場景，為重要部門準備簡單和可預計的方法去解決他們的業務問題，並完全遵守資安規定。
• 逐個業務要求個案都獨立處理，有強的資安文化可減少安全審核的密度，可大大減少業務與資安團隊的支出。

檢查表、報告和指導文件

大量時間花費在填寫審計和規範部門的表格的「紙面安全」上，以檢查監管文件和實踐當中的適用性，資安團蘟也可能被要求向合作伙伴提供訊息，越來越多機構關注供應鏈風險，要求對方有穩建的資訊安全。

建議

• 投資時間和精力在創建「可重用」的文件，例如全面的保安白皮書、PCI合規報告，或SOC2審計，這些文件不但有助符合規定，也能對典型的要求作出快速回應。
• 雇用專人或培訓團隊某人去處理以上提及的有關工作
• 採用自動化流程，不但把日常管理操作交到機器手上，也能正確地記錄在案。

選擇合適保安技術

資安技術日新月異，盡量買最多方案不但增加預算和大量警告通知，採購新方案前的評估也需要大量人力，部署時亦要花費大量時間。

建議

• 盡量減少使用資安供應商的數量，長遠來看單一供應商能改善表現。
• 購買方案時包含系統整合商、VAR或其他合作伙伴參與評估和測試，經驗豐富的伙伴能迅速淘汰不適合的方案。

安全培訓

雖然可以為所有員工提供強制資安培訓，但不當的部署也會令資安團隊工作量大增，典型情況是所有培訓由設計到執行都自家製作，而且是否為員工等級而訂製直接影響成效。

建議

• 使用自動化平台對員工進行培訓，簡單客製內容能針對行業或特定部門，結合訓練與測驗，透過遊戲化增加員工投入怠令計劃成功率提高。

資料來源：Kaspersky Blog