安全管理体系是一个复杂的生态系统,定义了企业的关键信息、安全原则、资源和活动(见图1)。企业机构所构建和运行的安全体系往往难以既对员工实用,又能有效管理加快速度进行发展的数字风险。因此,首席信息官(CIO)一定要了解并避免陷入误区,构建强韧的安全体系,应对中国数字业务面临的网络安全挑战。CIO及其安全对团在构建切实可行的安全体系时,容易陷入四个常见误区。这些误区包括:
采用传统的中心化方法来支持分布式风险决策,这种方法在应对敏捷数字项目时无法有效扩展
在当今的数字化环境和威胁环境中,企业机构要设定一个旨在遏制所有攻击的安全目标是既不现实,也不合适的。目前不存在完美的防护机制,在多边的业务和风险环境中,企业机构应在保护措施与业务运营需求之间取得平衡。这种平衡需要与业务领导者进行讨论和决定,而不是由IT部门单独决定(见图2)。
当高管询问“我们能否达到百分之百安全”时,CIO及其安全团队应将谈话引向对风险的讨论。投入大量资金来预防对业务影响较小的安全事件,并不符合成本效益。企业机构应明确可能影响业务战略目标和绩效实现的安全风险,并定义风险控制衡量指标。在业务目标、影响业务成功的安全风险和跟踪指标之间建立明确联系,这一点至关重要。
安全策略的根本目的是通过识别、评估和控制风险,鼓励促进安全的行为,阻止不利行为。尽管如此,员工可能发现安全团队独立制定的一些策略难以遵守,对其角色而言并不合理,并且与其工作目标相冲突。因此,员工会选择忽略这些策略,继续采取不安全的行为。
2022年Gartner安全行为驱动因素调研发现,过去12个月中有69%的员工有意绕过企业机构的网络安全策略。此外,74%的收房的人说,如果有助于个人或团队实现业务目标(例如,再马上就要来临的截止日期前达成目标和/或完成营收目标),则会选择绕开网络安全策略。这种对安全策略的漠视产生的原因往往是由于安全因素引发的摩擦阻碍了员工高效开展工作。
为了避免陷入这一误区,企业应使用基于场景的办法来进行测试,确保策略切实可行。再工作人员面对的许多实际场景中测试安全策略,并确定该策略是否为这些场景提供支持或造成妨碍。同时,可优先考虑开发用户手册,使用通俗易懂的业务语言,而非专业术语来解释所有这些常见场景的安全要求。最后,发现、理解并解决员工所经历的摩擦。
安全治理是指确保采取合理、适当的行动,以最有效、 最高效的方式保护企业机构的信息资源,以实现其业务目标的流程和能力。由于CEO逐渐重视安全事件和违反相关规定的行为导致的业务损失,媒体的相关报道也慢慢变得多,很多中国大型企业机构已经设立了企业级的安全委员会作为治理机构。
尽管委员会是由来自整个企业的业务和职能部门的高管组成,但安全议程和相关主题的沟通仍主要以合规为导向或以IT为中心。这就无法有效展示安全投资对于业务成果的价值和相关性,无法引起CEO和业务高管的更多共鸣。
为避免这一误区,CIO及安全团队应该阐述与业务成果相关的安全风险,不仅限于合规,这将更好地引起CEO和委员会业务成员的共鸣。同时,了解沟通背景,选择合适的价值沟通方式。
由于业务部门更多地雇佣自己的数字化技术人员,而不是完全依赖企业的IT人员,企业机构的安全和风险决策日益分散。此外,在中国竞争激烈的数字化环境中,企业机构慢慢的变多地采用敏捷或DevOps的全新IT方法,加速数字业务的交付。这反过来也增加了快速做出风险决策的压力。企业机构如果仍依赖传统的单一中心化安全团队来开展风险决策工作,将很难招聘到足够的安全人才,以应对企业机构内部快速增加的分布式风险决策的数量以及决策速度的要求。此外,分散决策的机会成本很快会超过其增加的价值。
为避免陷入这一误区,CIO应培养企业所有员工的网络判断力,满足敏捷数字项目风险决策的数量和速度要求,这将大幅度减少整个企业机构的网络风险暴露。此外,由于网络判断力并不要求安全人员全程参与以做出风险决策,节省下来的安全人力资源能重新分配,用于更具影响力的网络安全活动中。
上一篇:上新 TE Connectivity推出适用于电动汽车的全新单壁热缩管
下一篇:美芝、威灵携一站式全场景暖通制冷解决方案闪耀AHR Expo 2024
东芝1200V SIC SBD “TRSxxx120Hx系列” 助力工业电源设备高效
PADS VX2.7小白零基础入门PCB Layout设计52讲实战课程
Follow me第二季第3期来啦!与得捷一起解锁高性能开发板【EK-RA6M5】超能力!
报名直播赢【双肩包、京东卡、水杯】 高可靠性IGBT的新选择——安世半导体650V IGBT
30套RV1106 Linux开发板(带摄像头),邀您动手挑战边缘AI~
2024 瑞萨电子MCU/MPU工业技术研讨会——深圳、上海站, 火热报名中
实时供应链的可见性与采购订单透明度的提升,有助于同步高科技全球供应链的各环节,进而提升客户服务水平。在18个月的时间里,有900家供应 ...
品英Pickering公司推出新款面向未来的PXIe单槽控制器, 适用于高性能测试和测量应用
新款PXIe嵌入式控制器将在2024年德国慕尼黑电子展(11月12日至15日)上首次亮相,提供前一代产品的两倍性能。品英Pickering公司,是用于电 ...
双方合作将Qorvo的高性能BLDC PMSM电机控制器 驱动器与CGD易於使用的ICeGaN IC结合於新的评估套件(EVK)中。英商剑桥氮化鎵器件有限公司 ...
2024年11月14日,上海,当前,设备的微型化和新架构等发展的新趋势,正在不断地推动着对新连接模式的需求。因此,连接器和其它组件制造商都希望 ...
尼得科集团旗下的尼得科智动株式会社率先开发出了两轮车用电动离合器ECU,该系统能在两轮车起步、变速、停止等驱动力变化的场景下实现换 ...
使用 Analog Devices 的 ADF7021BCPZ 的参考设计
NCP4306FLY150GEVB:用于反激式应用的 NCP4306 高效 SR 评估板,具有 150V MosFET
RD-L043,使用 FSL336LRN 交流转直流降压转换器进行降压应用的参考设计
AMSRL-7815-NZ 15V 高达 7.5 瓦 DC-DC 开关稳压器的典型应用
移植u-boot-2010.09到S3C2440(二)——ARM汇编中的LDR及ADR的区别
GD32330C-START开发板试用体验:MDK开发环境搭建,跑马灯demo下载成功
GD32330C-START开发板试用体验:+ 串口USART收发数据
直播已结束【解锁 TI Sitara AM2x MCU 在电机驱动中的新可能】
集成可配置信号链模块在传感测量领域的应用
6小时狂欢,谁是2016年TI杯全国大学生物联网设计竞赛最高人气王,你说了算!
有奖直播 同质化严重,缺乏创新,ST60毫米波非接触连接器,赋予你独特的产品设计,重拾市场话语权
【把你我的经验串一串,共享丰收】EEWORLD优秀主题/回复第17期活动开始拉
泰克移动多媒体总线系列专题来袭~《HDMI2.0规范测试方案》下载有礼!
站点相关:传感器/仪表信息处理嵌入式系统PLC传动与执行工业通讯工控设备别的技术综合资讯能源管理节能减排工控百科工控论坛
