許多業(yè)務領導人仍然認為只要投入足夠的資金并聘請合適的人員運用正確的技術知識使他們避免成為頭條新聞,就可以解決網(wǎng)絡安全問題。
事實上,,使企業(yè)機構暴露在網(wǎng)絡安全攻擊之下的往往是IT和非IT高管之間的系統(tǒng)性和文化問題,,而不是技術能力或資金問題,。
Gartner杰出研究副總裁Paul Proctor表示:“這些問題讓首席信息官和首席信息安全官開始重新思考如何讓非IT高管優(yōu)先考慮安全事項。”
您可以通過解決企業(yè)機構內(nèi)部的這些主要失敗原因來減少網(wǎng)絡攻擊風險。
1. 無形的系統(tǒng)性風險
企業(yè)每天都會做出對其安全就緒性產(chǎn)生負面影響的決策:例如拒絕關閉服務器進行適當?shù)男扪a或選擇繼續(xù)使用舊的硬件和軟件以節(jié)省預算,。這些未被報告的決策導致錯誤的安全感并增加事件發(fā)生的可能性和嚴重性。行動:將系統(tǒng)性風險的識別,、報告和討論作為日常安全治理的一部分,。
2. 文化脫節(jié)
非IT高管仍然認為安全像空氣或水一樣“理應存在”。也就是說,,安全沒有被視為業(yè)務決策的一部分,。例如,一個要求開發(fā)新應用的企業(yè)領導人不可能將“安全就緒性”作為一項要求,。行動:將網(wǎng)絡安全放到業(yè)務環(huán)境中,,使高管們能夠看到他們的決策所帶來的影響。
3. 花錢買出路
您無法“花錢買出路”——無論您花多少錢,,都無法完全保護自己免受網(wǎng)絡攻擊,。試圖阻止每一個風險活動很可能會損害企業(yè)機構的運作能力。行動:避免在安全方面過度投資,,否則會提高運營成本,,同時損害企業(yè)機構實現(xiàn)業(yè)務成果的能力,。
4. 將安全官視為“保護者”
如果安全官被視為(并擔任)企業(yè)機構的保護者,,那么就會產(chǎn)生一種“拒絕”文化,。例如他們可能會因為安全問題而阻止一個關鍵應用的發(fā)布,而不考慮該應用所支持的業(yè)務成果,。行動:將安全官的職能定位成平衡保護需求和業(yè)務經(jīng)營需求,。
5. 不健全的問責制度
問責制度應使接受風險的決策能夠保護關鍵的利益相關者。如果問責制度意味著一旦出了問題,,有人就會被解雇,,那么就沒有人會參與。行動:獎勵能夠在保護需求和業(yè)務經(jīng)營需求之間實現(xiàn)最佳平衡的人員,。
6. 糟糕的風險偏好聲明
企業(yè)機構所創(chuàng)建的通用高級別風險偏好聲明不支持良好的決策,。應避免承諾只從事低風險的活動,否則可能造成無形的系統(tǒng)性風險,。 行動:創(chuàng)建允許在規(guī)定參數(shù)內(nèi)接受風險的機制,。
7. 不切實際的社會期望
當發(fā)生成為新聞焦點的安全事件時,社會只想看到“替罪羊”,。雖然這并不公平,,但這是幾十年來把安全問題當作一個“黑匣子”的結果。沒有人了解它的真正運作方式,,因此當事件發(fā)生時,,人們就會認為一定是有人犯了錯。但除非企業(yè)機構和IT部門開始以不同的方式對待和談論安全問題,,否則社會就不會改變,。 行動:呼吁平衡保護需求和業(yè)務經(jīng)營需求,而不是找人作替罪羊,。
8. 缺乏透明度
一些董事會和高管人員根本不愿意聽到或承認安全并不完善,。董事會展示中充滿著關于安全方面已取得進展的好消息,卻很少或幾乎不會討論差距和改進機會,。據(jù)我們所知,,有一家公司甚至決定將安全問題移交給法律顧問,這樣就能對討論的內(nèi)容進行保密,。行動:為了應對這些挑戰(zhàn),,IT和非IT高管必須愿意了解和討論安全工作的現(xiàn)狀和局限性。