避免四个误区,在中国落地切实可行的安全管理体系

2024-01-22 00:43| 发布者: |

尊龙凯时登录安全管理体系是一个复杂的生态系统,定义了企业的关键信息、安全原则、资源和活动(见图1)。企业机构所构建和运行的安全体系往往难以既对员工实用,又能有效管理快速发展的数字风险。因此,首席信息官(CIO)必须了解并避免陷入误区,构建强韧的安全体系,应对中国数字业务面临的网络安全挑战。

CIO及其安全对团在构建切实可行的安全体系时,容易陷入四个常见误区。这些误区包括:

图1:安全管理体系的组成

在当今的数字化环境和威胁环境中,企业机构要设定一个旨在遏制所有攻击的安全目标是既不现实,也不合适的。目前不存在完美的防护机制,在多边的业务和风险环境中,企业机构应在防护措施与业务运营需求之间取得平衡。这种平衡需要与业务领导者进行讨论和决定,而不是由IT部门单独决定(见图2)。

图2:安全是一种选择:何为适度风险?

当高管询问 我们能否达到百分之百安全 时,CIO及其安全团队应将谈话引向对风险的讨论。投入大量资金来预防对业务影响较小的安全事件,并不符合成本效益。企业机构应明确可能影响业务战略目标和绩效实现的安全风险,并定义风险控制衡量指标。在业务目标、影响业务成功的安全风险和跟踪指标之间建立明确联系,这一点至关重要。

安全策略的根本目的是通过识别、评估和控制风险,鼓励促进安全的行为,阻止不利行为。尽管如此,员工可能发现安全团队独立制定的一些策略难以遵守,对其角色而言并不合理,并且与其工作目标相冲突。因此,员工会选择忽略这些策略,继续采取不安全的行为。

2022年Gartner安全行为驱动因素调研发现,过去12个月中有69%的员工有意绕过企业机构的网络安全策略。此外,74%的受访者表示,如果有助于个人或团队实现业务目标(例如,再即将到来的截止日期前完成任务和/或完成营收目标),则会选择绕开网络安全策略。这种对安全策略的漠视产生的原因往往是由于安全因素引发的摩擦阻碍了员工高效开展工作。

为了避免陷入这一误区,企业应使用基于场景的方法进行测试,确保策略切实可行。再工作人员面对的许多实际场景中测试安全策略,并确定该策略是否为这些场景提供支持或造成妨碍。同时,可以考虑开发用户手册,使用通俗易懂的业务语言,而非专业术语来解释所有这些常见场景的安全要求。最后,发现、理解并解决员工所经历的摩擦。

安全治理是指确保采取合理、适当的行动,以最有效、 最高效的方式保护企业机构的信息资源,以实现其业务目标的流程和能力。由于CEO越来越重视安全事件和违规行为导致的业务损失,媒体的相关报道也越来越多,很多中国大型企业机构已经设立了企业级的安全委员会作为治理机构。

尽管委员会是由来自整个企业的业务和职能部门的高管组成,但安全议程和相关主题的沟通仍主要以合规为导向或以IT为中心。这就无法有效展示安全投资对于业务成果的价值和相关性,无法引起CEO和业务高管的更多共鸣。

为避免这一误区,CIO及安全团队应该阐述与业务成果相关的安全风险,不仅限于合规,这将更好地引起CEO和委员会业务成员的共鸣。同时,了解沟通背景,选择合适的价值沟通方式。

由于业务部门更多地雇佣自己的数字化技术人员,而不是完全依赖企业的IT人员,企业机构的安全和风险决策日益分散。此外,在中国竞争激烈的数字化环境中,企业机构越来越多地采用敏捷或DevOps的全新IT方法,加速数字业务的交付。这反过来也增加了快速做出风险决策的压力。企业机构如果仍依赖传统的单一中心化安全团队来开展风险决策工作,将很难招聘到足够的安全人才,以应对企业机构内部快速增加的分布式风险决策的数量以及决策速度的要求。此外,分散决策的机会成本很快会超过其增加的价值。

为避免陷入这一误区,CIO应培养企业所有员工的网络判断力,满足敏捷数字项目风险决策的数量和速度要求,这将大大减少整个企业机构的网络风险暴露。此外,由于网络判断力并不要求安全人员全程参与以做出风险决策,节省下来的安全人力资源可以重新分配,用于更具影响力的网络安全活动中。

<
>
关于我们
AB模版网成立于2014年,我们是一家专注用户体验设计开发与互联网品牌建设的设计公司,创立至今为2000多位客户提供了创新与专业的设计方案。设计服务范围包括:交互原型设计、产品视觉设计、网站设计与开发建设、移动及软件产品界面设计、图标设计、品牌及平面设计等。

联系我们

13588889999服务时间:9:00-18:00)

[email protected]

官方微信官方微信

部门热线

前   台:13588889999
业务部:13588889999
客服部:13588889999
技术部:13566667777
人事部:13566667777

咨询电话13588889999 返回顶部
返回顶部