企業文化引領商業戰略 而網路安全要成為企業文化的核心
長期以來,網路安全一直被視為一個團隊的責任。但是如果我們繼續保持這種心態的話,我們將註定失敗!
如今,全球各地的領導者關於“網路攻擊會對企業造成的影響”都已經有了非常深刻的認識。他們清楚地知道,無論是失去使用者的信任,還是從網路攻擊中恢復都不是一件容易的事情。當一家企業遭受了網路攻擊,那麼幾乎每個業務部門都會受到影響,平均消耗成本高達 386萬美元 。
雖然大多數CSO和CISO希望能夠成為阻止和修復該問題的人,但他們必須意識到,他們不能獨自承擔這一重任。一個強有力的論據是,網路安全需要超越CSO、CISO和他們的團隊,安全需要的是全公司範圍內的共同努力,並且需要成為公司核心文化的一部分被廣泛接受。
大多數人可能都聽過“企業文化引領商業戰略(Culture Eats Strategy for Breakfast)”的說法,事實上,這句話同樣適用於安全領域,而世界各地的CISO也都清楚地知道這種說法的正確性。如果文化不支援,那麼你所依靠的人將會阻止你嘗試實施的任何安全策略或計劃。
如今,許多公司都在努力接受安全文化。根據ISACA最近釋出的一項調查結果顯示,只有5%的受訪組織認為,他們目前的網路安全文化與他們所期待的網路安全之間不存在差距。這也就意味著,高達 95% 的組織認為,他們所擁有的文化與他們想要的文化之間存在脫節。那麼,企業可以為此做出哪些努力呢?
接受你的安全團隊無法獨自完成任務
網路安全面臨的挑戰之一,就是大多陣列織都採取了“一個安全團隊”的做法,並且認為一個團隊可以解決所有網路安全威脅和需求。但實際上,網路安全問題遠非安全團隊僅憑一己之力就能解決的。產品和公司資產永遠不屬於安全團隊的掌控範疇,而且掌控這些的人可能與安全團隊有著截然不同的目標。
安全需要成為所有部門都在考慮的事情。這並不意味著銷售或工程師需要成為安全技術專家,但他們確實需要通過提出問題、瞭解風險以及瞭解如何適應解決方案,來縮小網路安全現實和理想之間的差距。事實上,如果一個企業想要在網路安全方面獲得成功,那這些都是必須要做的事情。
與不同業務部門建立關係
安全團隊必須獲得各部門的支援,包括人力資源、通訊、營銷、產品開發以及法律等。雖然並非所有人都會加入,但是絕大多數明白事理的領導者都會認識到,這樣做有利於公司實現其目標。
花時間與不同部門的領導進行交談,找出對方的關注點,並將其與安全相結合以實現互利共贏。例如,產品質量和安全性通常被視為兩個不同部門所擁有的兩個不同元素,但是,客戶並不這麼認為,如果產品質量高但缺乏安全性,那麼它最終也不可能成為高質量的產品。
同樣地,缺乏安全性,客戶隱私就會存在威脅,而且無法說明其產品安全性的營銷團隊也就無法理解並幫助管理客戶風險。企業需要開始建立這些型別的連線,這樣的話,當網路安全根植於文化中時,一切都能夠更自然地發生。
獲得C級領導認可
研究表明,高層管理人員和董事會將網路安全視為公司面臨的首要問題。但問題是:領導者是應該採取行動還是期望他們的CISO來解決問題?我們發現答案是都需要!另一方面,我們能夠讓高階管理人員確定安全目標,作為其年度目標的一部分。這些目標衡量的是企業高管,而不再僅僅是CISO們。這是一次成功的文化變革。
企業管理人員必須用他們處理其他業務風險相同的方式來確定安全優先順序。他們必須認識到,並非所有處理風險的行動都將從CISO開始。事實上,他們甚至很可能會發現大部分情況都並非如此。CISO需要制定策略,並在整個過程中提供指導和建議,但是如果沒有來自高層領導的支援,網路安全將成為一個孤立的技術問題,而不是文化問題。
長期以來,網路安全一直被視為一個團隊的責任,如果我們繼續保持這種心態,我們註定會失敗。網路安全需要成為企業文化的一部分,安全也必須成為企業的核心問題,並由高階管理者負責領導。過去那種將安全部門作為事務清單上最後一站的做法已經遠遠不夠,現在我們所需的是“團隊戰略”。