长期以来,网络安全一直被视为一个团队的责任。但是如果我们继续保持这种心态的话,我们将注定失败!
如今,全球各地的领导者关于“网络攻击会对企业造成的影响”都已经有了非常深刻的认识。他们清楚地知道,无论是失去用户的信任,还是从网络攻击中恢复都不是一件容易的事情。当一家企业遭受了网络攻击,那么几乎每个业务部门都会受到影响,平均消耗成本高达386万美元。
虽然大多数CSO和CISO希望能够成为阻止和修复该问题的人,但他们必须意识到,他们不能独自承担这一重任。一个强有力的论据是,网络安全需要超越CSO、CISO和他们的团队,安全需要的是全公司范围内的共同努力,并且需要成为公司核心文化的一部分被广泛接受。
大多数人可能都听过“企业文化引领商业战略(Culture Eats Strategy for Breakfast)”的说法,事实上,这句话同样适用于安全领域,而世界各地的CISO也都清楚地知道这种说法的正确性。如果文化不支持,那么你所依靠的人将会阻止你尝试实施的任何安全策略或计划。
如今,许多公司都在努力接受安全文化。根据ISACA最近发布的一项调查结果显示,只有5%的受访组织认为,他们目前的网络安全文化与他们所期待的网络安全之间不存在差距。这也就意味着,高达95%的组织认为,他们所拥有的文化与他们想要的文化之间存在脱节。那么,企业可以为此做出哪些努力呢?
接受你的安全团队无法独自完成任务
网络安全面临的挑战之一,就是大多数组织都采取了“一个安全团队”的做法,并且认为一个团队可以解决所有网络安全威胁和需求。但实际上,网络安全问题远非安全团队仅凭一己之力就能解决的。产品和公司资产永远不属于安全团队的掌控范畴,而且掌控这些的人可能与安全团队有着截然不同的目标。
安全需要成为所有部门都在考虑的事情。这并不意味着销售或工程师需要成为安全技术专家,但他们确实需要通过提出问题、了解风险以及了解如何适应解决方案,来缩小网络安全现实和理想之间的差距。事实上,如果一个企业想要在网络安全方面获得成功,那这些都是必须要做的事情。
与不同业务部门建立关系
安全团队必须获得各部门的支持,包括人力资源、通信、营销、产品开发以及法律等。虽然并非所有人都会加入,但是绝大多数明白事理的领导者都会认识到,这样做有利于公司实现其目标。
花时间与不同部门的领导进行交谈,找出对方的关注点,并将其与安全相结合以实现互利共赢。例如,产品质量和安全性通常被视为两个不同部门所拥有的两个不同元素,但是,客户并不这么认为,如果产品质量高但缺乏安全性,那么它最终也不可能成为高质量的产品。
同样地,缺乏安全性,客户隐私就会存在威胁,而且无法说明其产品安全性的营销团队也就无法理解并帮助管理客户风险。企业需要开始建立这些类型的连接,这样的话,当网络安全根植于文化中时,一切都能够更自然地发生。
获得C级领导认可
研究表明,高层管理人员和董事会将网络安全视为公司面临的首要问题。但问题是:领导者是应该采取行动还是期望他们的CISO来解决问题?我们发现答案是都需要!另一方面,我们能够让高级管理人员确定安全目标,作为其年度目标的一部分。这些目标衡量的是企业高管,而不再仅仅是CISO们。这是一次成功的文化变革。
企业管理人员必须用他们处理其他业务风险相同的方式来确定安全优先级。他们必须认识到,并非所有处理风险的行动都将从CISO开始。事实上,他们甚至很可能会发现大部分情况都并非如此。CISO需要制定策略,并在整个过程中提供指导和建议,但是如果没有来自高层领导的支持,网络安全将成为一个孤立的技术问题,而不是文化问题。
长期以来,网络安全一直被视为一个团队的责任,如果我们继续保持这种心态,我们注定会失败。网络安全需要成为企业文化的一部分,安全也必须成为企业的核心问题,并由高级管理者负责领导。过去那种将安全部门作为事务清单上最后一站的做法已经远远不够,现在我们所需的是“团队战略”。
相关阅读