许多业务领导人仍然认为只要投入足够的资金并聘请合适的人员运用正确的技术知识使他们避免成为头条新闻,就可以解决网络安全问题。
事实上,使企业机构暴露在网络安全攻击之下的往往是IT和非IT高管之间的系统性和文化问题,而不是技术能力或资金问题。
Gartner杰出研究副总裁Paul Proctor表示:“这些问题让首席信息官和首席信息安全官开始重新思考如何让非IT高管优先考虑安全事项。”
您可以通过解决企业机构内部的这些主要失败原因来减少网络攻击风险。
1. 无形的系统性风险
企业每天都会做出对其安全就绪性产生负面影响的决策:例如拒绝关闭服务器进行适当的修补或选择继续使用旧的硬件和软件以节省预算。这些未被报告的决策导致错误的安全感并增加事件发生的可能性和严重性。
行动:将系统性风险的识别、报告和讨论作为日常安全治理的一部分。
2. 文化脱节
非IT高管仍然认为安全像空气或水一样“理应存在”。也就是说,安全没有被视为业务决策的一部分。例如,一个要求开发新应用的企业领导人不可能将“安全就绪性”作为一项要求。
行动:将网络安全放到业务环境中,使高管们能够看到他们的决策所带来的影响。
3. 花钱买出路
您无法“花钱买出路”——无论您花多少钱,都无法完全保护自己免受网络攻击。试图阻止每一个风险活动很可能会损害企业机构的运作能力。
行动:避免在安全方面过度投资,否则会提高运营成本,同时损害企业机构实现业务成果的能力。
4. 将安全官视为“保护者”
如果安全官被视为(并担任)企业机构的保护者,那么就会产生一种“拒绝”文化。例如他们可能会因为安全问题而阻止一个关键应用的发布,而不考虑该应用所支持的业务成果。
行动:将安全官的职能定位成平衡保护需求和业务经营需求。
5. 不健全的问责制度
问责制度应使接受风险的决策能够保护关键的利益相关者。如果问责制度意味着一旦出了问题,有人就会被解雇,那么就没有人会参与。
行动:奖励能够在保护需求和业务经营需求之间实现最佳平衡的人员。
6. 糟糕的风险偏好声明
企业机构所创建的通用高级别风险偏好声明不支持良好的决策。应避免承诺只从事低风险的活动,否则可能造成无形的系统性风险。
行动:创建允许在规定参数内接受风险的机制。
7. 不切实际的社会期望
当发生成为新闻焦点的安全事件时,社会只想看到“替罪羊”。虽然这并不公平,但这是几十年来把安全问题当作一个“黑匣子”的结果。没有人了解它的真正运作方式,因此当事件发生时,人们就会认为一定是有人犯了错。
但除非企业机构和IT部门开始以不同的方式对待和谈论安全问题,否则社会就不会改变。
行动:呼吁平衡保护需求和业务经营需求,而不是找人作替罪羊。
8. 缺乏透明度
一些董事会和高管人员根本不愿意听到或承认安全并不完善。董事会展示中充满着关于安全方面已取得进展的好消息,却很少或几乎不会讨论差距和改进机会。据我们所知,有一家公司甚至决定将安全问题移交给法律顾问,这样就能对讨论的内容进行保密。
行动:为了应对这些挑战,IT和非IT高管必须愿意了解和讨论安全工作的现状和局限性。
本文来自Gartner公司,版权归作者所有。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/15151.html