機構或企業中誰是網路安全最有力的推動者?
這取決於公司規模,在驅動安全發展上最具影響力的人可能是高管,也可能是董事會成員,但非高管級管理人員,有時甚至是直接負責IT/安全的人,也會成為強勁的推動力。
無論是誰,每家公司都需要那麼一個人,讓安全不僅僅是預算清單上一個條目,還是公司整體文化中的一個部分。然而,更多的情況是,公司因兩種原因之一而將安全擺上重要位置。重視安全的公司,要麼有著相信安全非常重要的進取型領導團隊,要麼就是經歷過重大事件的公司。”
這也正是為什麼很多情況下人員沒有事件有影響力的原因。雖然大多數管理人員都希望潮流能改變一下,但現狀更能說明問題。當然,肯定有公司關注災難或監管推手的缺失問題,但這通常是因為有別的公司這麼要求。
因此,安全團隊求改善往往需要很長時間的情況也就更常見了。最大的問題之一,是部署雙因子身份驗證。不僅僅是在防火牆上,而是在資料中心內部設計的所有系統上。另外,網路劃分和補丁及漏洞管理上也有很多問題。
有時是外部而非內部因素驅動公司的安全發展,尤其是在公司合併和收購中,因為收購方會要求對方的網路安全保障,例如雅虎在被被收購程式上因資料洩露而暫停,甚至有可能被取消。
這些問題的根源,是管理的失敗。這是個管理問題,而非技術問題。
——達雷爾·德里斯特克,資訊系統安全協會(ISSA)高階成員,國際資訊系統審計協會(ISACA)董事。
公司內部,真正相信且重視安全的管理團隊,影響力最大。缺了這個,那就是在從山腳強攻山頭,想打贏幾乎不可能。只要不真的堅信安全非常重要,安全就會被從優先列表中移除。
任何公司,想要驅動安全發展,都需要一個代表安全的務實而強有力的聲音——一個CISO或高階別安全人士。懂行的領導團隊不會去關心查單畫勾式的形式化安全,他們會問壞人的行事方式,會管我們需要什麼來阻止壞人的破壞行為。
鑑於這個原因,小公司面對的挑戰還更大些。Tychon技術長特拉維斯·羅斯耶克說:“他們通常人手不足,預算也很緊張。IT和安全工作都被推到了次要位置。保持系統線上,維持公司運轉才是他們的優先考慮。”
只有一個人既領導IT又負責安全,那他們就沒什麼機會在減小整體風險的不同方面都有深入的專業技術了。小公司裡高管的職位是為預算奮戰。安全只是IT預算的一小部分。IT預算本就不多,其中一部分分給安全的就更是起不到什麼作用。但是,小公司在某些方面也是有優勢的。他們的IT和安全團隊通常很強,而且獨立。當出現危機或可疑事件時,他們可以很好地集結起來協同作戰。
隨著更多的公司意識到每個員工都是目標,董事會也更多地參與進來了。不過,仍有很多公司依然覺得威脅瞄的是別的公司,不是自己。這些更成熟的有進取心的公司,將會設定真正有地位的CISO或CIO。從成熟度的角度出發,當CISO直接向CIO彙報,並在董事會有發言權的時候,公司就真正重視安全了。
另一方面,當CISO沒什麼存在感且比高管低上三四個層次,他們在爭取預算上就困難得多了。這就是為什麼任何公司中真想推動安全發展的人,需要能直接與風險責任人溝通的原因了。
不管是財富500強、中型企業,還是夫妻小店,風險責任人都必須決定自身風險承受度。安全感是必須的,但很少有人想要真正考慮安全。作為安全人士,不得不替他們簡化其間過程,教導他們認識資料的價值。只要涉及資金,大多數公司主管都不敢妄想忽略風險,但在資料上,這種認知出現了斷層。
為什麼溝通需要直接發生在風險責任人與安全管理人員之間?這就是原因。認識到風險是直接與業務相關的那些企業,也正是為高階安全專案鋪路的那些。
財富500強企業通常體制嚴謹,資訊傳達到董事會之前會經過層層篩選。這些正式或非正式的溝通,大多數情況下會讓安全團隊將資訊遞送到正確的人手中。資料質量,包括完整性和可用性,是甄別準則。安全風險就是企業風險。合規只是弱安全,不過是保險問題而已。
對中小型企業而言,安全人員通常直接與企業主或非常接近企業主的人對接。除非手握正確的開啟方式,否則很難說服他們投以關注。而資料質量和企業防護計劃就是那正確的開啟方式。資料損失和被盜的高發,就是懶惰與懈怠的結果。所有這些問題的根源,都是管理的失敗。這是個管理問題,不是技術問題。高管層必須為公司設定基調。
為什麼大企業裡CISO通常都是推動戰略和預算的主力?這就是原因。
財富50強公司中常常可以看到,CISO參與度很高,同時董事會也有涉入。IT成為了董事會的常規話題。當更多的利益相關者參與進來,也就開闢了更大的預算空間,更務實的對話。這會讓每個人都去思考更寬泛的問題。若是廠商,那會有更多的利益相關者需要拉入進來。
最敏捷的,已經發現可用預算和快速反應能力之間平衡的公司,就是全球2000強企業了。這些公司規模正好,可以按自己的速度行動,能跟上市場腳步。他們會做自己的研究,CISO能用更大的團隊驅動安全進步。
不考慮公司規模的話,最大的影響力來自於公司利益相關者情感上的支援。因為安全發展中需要跨越的最大障礙,就是對“安全就是各種限制”的認知,安全主管需要建立良好關係以獲取利益相關者的支援。
本文轉自d1net(轉載)
相關文章
- 瑞星年度網路安全報告揭示“網際網路+”企業最“高危”
- Mozilla推動網際網路成為遊戲發展的強有力平臺遊戲
- 【網路安全】知名網路安全企業有哪些?
- 網際網路創業者最壞的時機,可能是2015年?創業
- 網際網路+的時代,誰最懂你?
- 企業網路安全領導者的角色正在重新定義
- 企業網路安全策略
- 阿里雲企業級雲網路解決方案,助力企業構建安全可靠的雲網路阿里
- 儲存網路在企業應用中的安全隱患
- 《大型網際網路企業安全架構》讀書筆記架構筆記
- 誰是最棒的容器作業系統?作業系統
- 中小企業網路安全評估
- 巴西企業網路安全風險最高
- iFixit:誰是最難修理的智慧手機?
- 移動安全:企業網路安全的又一次大革命
- 為什麼說堡壘機是企業IT運維的“安全終結者”?運維
- 南京銘岱網路:企業網路安全成為當前CIO們最關心問題
- 網路安全保險或成企業標配遇攻擊勒索均可賠付
- 病毒肆虐敲響網路安全警鐘國產軟體企業或迎發展良機
- 中國企業如何應對網路安全
- 企業資訊與網路通訊安全(7)退出機制 (轉)
- 10個企業網路安全建議,解決99%的網路安全問題
- 企業網路安全的“人防”工事該如何建?
- 強大的網路安全如何為企業增值?
- 教你改善企業網路安全的八個技巧
- 企業網盤解決方案推動企業成功轉型
- 網路音樂付費下載 誰才是最終受益者?
- 網路安全:21世紀最賺錢的職業
- “智慧能源”驅動發電企業網路安全新思考
- 網際網路企業安全之埠監控
- 企業網架構與安全裝置部署架構
- 網際網路企業如何選擇網路安全防護公司?
- 簡訊動態密碼與KEY是在企業安全中的應用密碼
- 企業網路安全管理維護之探析
- 企業網路:安全只能靠兩招
- 企業如何選擇網路營銷公司?企業網路推廣常見的四大誤區!
- 江民KV網路版企業網路安全解決方案(轉)
- 中國日報:企業網路紅包或須納稅