1. 我是CIO首页
  2. 新闻
  3. 企业管理

关于网络安全:CIO应与CEO讨论并优化的三件事

关于网络安全:CIO应与CEO讨论并优化的三件事插图(1)

一般来说,CIO仅被视为IT领域的领导者,因此IT部门对企业网络安全风险的覆盖范围可能有限。 

即使对于利用治理,风险和合规性(GRC)概念的组织,IT领导者也可能会发现自己与管理所需的关键业务领域脱节了。

根据Ponemon Institute,以下是对企业运营和常见挑战的五大网络风险:

2019年面临的5大网络威胁组织

业务运营的网络风险共同的挑战
第三方滥用或共享机密数据IT可能不会直接参与采购或第三方管理工作。
涉及物联网或运营技术(OT)资产的攻击IT可能不参与运营或仅支持基础架构。
恶意软件对业务流程的重大破坏IT对用户行为的影响可能有限。例如,在Ponemon研究中,有67%的受访者遭受了攻击,其中一个粗心的员工因网络钓鱼骗局而中标,导致凭证被盗。
涉及10,000或更多客户或员工记录的数据泄露尽管采取了网络安全措施,但由于破坏客户或员工记录的方式数量众多。
攻击公司的OT基础设施,导致工厂和/或运营设备停机与围绕涉及物联网或OT资产的攻击所引起的关注类似,并非所有IT运营都在与OT运营融合。

消息来源:Ponemon Institute

作为业务合作伙伴,CIO必须为这些问题提供解决方案,并成为与业务合作的拥护者。在探索2020年网络安全优先事项时,以下三个主要领域可以吸引CEO的注意力:

1.根据业务调整IT治理

全球化和企业的持续数字化转型正在改变IT支持组织的方式。 

在大多数情况下,IT不能仅专注于提供运营服务。IT需要确保其计划为业务创造价值。

仅技术网络安全方面的努力可能无法有效地预防人为错误,这就要求IT不仅通过技术能力,而且通过培训和意识方法来影响员工的行为。 

这种平衡行为的复杂性,加上不断变化的业务环境使CIO难以分配必要的资源来应对不断发展的威胁。

CIO的策略应包括对IT治理的基础性审查,以此作为最大化IT和网络安全工作的一种手段。

结合所有适用的外部因素(例如法规环境,行业发展),使IT和网络安全战略与业务目标保持一致,以确保在正确的领域进行网络安全投资。

最终,与所有必要的业务利益相关者合作,并对您的IT组织进行适当的治理更改,以确保更广泛的组织将支持正在进行的IT和网络安全工作。

2.业务驱动的量化风险度量

基于最佳实践框架实施的网络安全控制通常基于假设而不是规定性的风险缓解方法来确定优先级。

在为数据,系统和流程指定风险类别可以帮助IT组织为基准运营要求做准备时,IT机构对风险的定性评估可能无法反映出真正的业务影响,从而在评估网络安全控制的有效性时进行了尽力而为的努力。

相反,IT组织应基于组织的风险承受能力应用定量风险模型,并根据需要将其分为每个业务部门,以实现组织的总体目标。与企业合作衡量风险的能力将导致更好的网络安全计划,优先级和预算。

首先,创建风险升级路径或由业务涉众组成的网络安全风险管理委员会。 

关键是确定相对于组织或业务部门的最适当的风险阈值,并在评估风险时获得业务利益相关者的支持。 

利用量化因素,例如财务成本,对业务的影响的严重性,对业务运营或受影响的资产的影响,或适用于业务的其他定量风险值,并寻求业务利益相关者和高级管理层的支持。 

接下来,将网络安全优先级调整为与企业合作建立的风险承受能力级别,这使预算对话变得更加容易。

3.进行业务合作

现在,网络安全已成为许多领导者的首要考虑因素,而不仅仅是首席信息官。其他职能部门的业务利益相关者很可能会支持一些举措,以帮助防止在数据和业务运营环境中发生数据泄露和攻击。

从战略上讲,CIO应该与主要业务利益相关者建立持续的讨论,以将其业务优先事项整合到IT和网络安全计划中。 

了解每个业务利益相关者面临的各种内部和外部压力(例如法规或合同合规性),并确保可以衡量网络安全工作与业务成功之间的关系。 

例如,与以IT系统为中心的技术部署相比,网络防御可帮助面向客户的业务部门防御特定行业的威胁,将使其与总体业务目标更加一致。

从策略上讲,CIO可以在每个业务部门内招揽网络安全支持者,以确保他们参与计划并实施适用的IT或网络安全工作。 

大型组织可以研究一种混合治理模型,在该模型中,将网络安全人员整合到不同的区域运营中可以进一步促进IT与业务的一致。

如果要关注IoT或OT资产的安全,这尤其重要,因为IoT / OT资产管理和OT网络安全平台等网络安全功能需要业务利益相关者的支持才能集成到OT运营中。

沟通是关键—接下来的3个步骤

通过简明扼要的战略有效地传达组织的网络安全优先事项,是获得必要支持的最佳途径。 

为了帮助优化2020年的网络安全工作,避免采用技术至上的方法;投资应适当调整大小,并与业务目标和风险状况保持一致。 

通过将“GRC”中的C替换为“业务协作”中的C,使用治理,风险和(业务)协作的语言的CIO可以更好地与业务保持一致,并可以通过实施适当的解决方案来优化网络安全工作组织。

可行的后续步骤:

  • 根据业务调整IT治理: 确定组织的主要业务目标,重新审视IT和网络安全策略,并确保您的计划有助于组织的目标。
  • 业务驱动的定量风险度量: 查找可用于风险计算和风险升级的关键业务指标。征求业务利益相关者对您的风险缓解和风险管理工作的意见,并教育他们有关您的计划如何帮助他们降低业务运营风险的知识。
  • 业务合作至上;然后,合规性自然而然地出现了: 适用于整个组织的独立基础网络安全措施和有针对性的网络防御计划,可以提高业务运营的弹性,并确保业务利益相关者或其代理参与后者的计划和执行。

本文为作者 新然 独立观点,并不代表 我是CIO 立场。

发表评论

登录后才能评论