避免四个误区在中国落地切实可行的安全管理体系
来源:星空体育最新官网 发布时间:2024-11-20 12:39:22
安全管理体系是一个复杂的生态系统,定义了企业的关键信息、安全原则、资源和活动(见图1)。企业机构所构建和运行的安全体系往往难以既对员工实用,又能有效管理加快速度进行发展的数字风险。因此,首席信息官(CIO)一定要了解并避免陷入误区,构建强韧的安全体系,应对中国数字业务面临的网络安全挑战。CIO及其安全对团在构建切实可行的安全体系时,容易陷入四个常见误区。这些误区包括:
采用传统的中心化方法来支持分布式风险决策,这种方法在应对敏捷数字项目时无法有效扩展
在当今的数字化环境和威胁环境中,企业机构要设定一个旨在遏制所有攻击的安全目标是既不现实,也不合适的。目前不存在完美的防护机制,在多边的业务和风险环境中,企业机构应在保护措施与业务运营需求之间取得平衡。这种平衡需要与业务领导者进行讨论和决定,而不是由IT部门单独决定(见图2)。
当高管询问“我们能否达到百分之百安全”时,CIO及其安全团队应将谈话引向对风险的讨论。投入大量资金来预防对业务影响较小的安全事件,并不符合成本效益。企业机构应明确可能影响业务战略目标和绩效实现的安全风险,并定义风险控制衡量指标。在业务目标、影响业务成功的安全风险和跟踪指标之间建立明确联系,这一点至关重要。
安全策略的根本目的是通过识别、评估和控制风险,鼓励促进安全的行为,阻止不利行为。尽管如此,员工可能发现安全团队独立制定的一些策略难以遵守,对其角色而言并不合理,并且与其工作目标相冲突。因此,员工会选择忽略这些策略,继续采取不安全的行为。
2022年Gartner安全行为驱动因素调研发现,过去12个月中有69%的员工有意绕过企业机构的网络安全策略。此外,74%的收房的人说,如果有助于个人或团队实现业务目标(例如,再马上就要来临的截止日期前达成目标和/或完成营收目标),则会选择绕开网络安全策略。这种对安全策略的漠视产生的原因往往是由于安全因素引发的摩擦阻碍了员工高效开展工作。
为了避免陷入这一误区,企业应使用基于场景的办法来进行测试,确保策略切实可行。再工作人员面对的许多实际场景中测试安全策略,并确定该策略是否为这些场景提供支持或造成妨碍。同时,可优先考虑开发用户手册,使用通俗易懂的业务语言,而非专业术语来解释所有这些常见场景的安全要求。最后,发现、理解并解决员工所经历的摩擦。
安全治理是指确保采取合理、适当的行动,以最有效、 最高效的方式保护企业机构的信息资源,以实现其业务目标的流程和能力。由于CEO逐渐重视安全事件和违反相关规定的行为导致的业务损失,媒体的相关报道也慢慢变得多,很多中国大型企业机构已经设立了企业级的安全委员会作为治理机构。
尽管委员会是由来自整个企业的业务和职能部门的高管组成,但安全议程和相关主题的沟通仍主要以合规为导向或以IT为中心。这就无法有效展示安全投资对于业务成果的价值和相关性,无法引起CEO和业务高管的更多共鸣。
为避免这一误区,CIO及安全团队应该阐述与业务成果相关的安全风险,不仅限于合规,这将更好地引起CEO和委员会业务成员的共鸣。同时,了解沟通背景,选择合适的价值沟通方式。
由于业务部门更多地雇佣自己的数字化技术人员,而不是完全依赖企业的IT人员,企业机构的安全和风险决策日益分散。此外,在中国竞争激烈的数字化环境中,企业机构慢慢的变多地采用敏捷或DevOps的全新IT方法,加速数字业务的交付。这反过来也增加了快速做出风险决策的压力。企业机构如果仍依赖传统的单一中心化安全团队来开展风险决策工作,将很难招聘到足够的安全人才,以应对企业机构内部快速增加的分布式风险决策的数量以及决策速度的要求。此外,分散决策的机会成本很快会超过其增加的价值。
为避免陷入这一误区,CIO应培养企业所有员工的网络判断力,满足敏捷数字项目风险决策的数量和速度要求,这将大幅度减少整个企业机构的网络风险暴露。此外,由于网络判断力并不要求安全人员全程参与以做出风险决策,节省下来的安全人力资源能重新分配,用于更具影响力的网络安全活动中。
上一篇:上新 TE Connectivity推出适用于电动汽车的全新单壁热缩管
下一篇:美芝、威灵携一站式全场景暖通制冷解决方案闪耀AHR Expo 2024
站点相关:传感器/仪表信息处理嵌入式系统PLC传动与执行工业通讯工控设备别的技术综合资讯能源管理节能减排工控百科工控论坛
热线:15206181866