企业管理者对网络安全最常见的误解是:网络安全是一个“充钱可以解决的问题”,只要他们投入足够的资金并聘请具有足够资质的专业人员,就可以让公司远离今日头条。
事实上,导致企业容易遭遇网络攻击的主要原因往往不是技术能力或者预算,而是IT和业务高管之间的体系制度和文化“经络不通”。打个不恰当的比喻,企业网络安全“易感体质”的缓解措施往往不是西医,而是中医!
Gartner指出,企业解决好以下八个内部问题可有效降低网络攻击风险:
01
无形的系统性风险
企业每天都会做出对其安全准备状况产生负面影响的决策:例如,拒绝关闭服务器以进行适当的修补或选择继续使用旧硬件和软件以节省预算。这些未报告的决定会导致错误的安全感,并增加安全事件的可能性和严重性。
行动:作为正常安全治理的一部分,识别、报告并讨论系统性风险。
02
文化脱节
非IT主管仍然将安全视为“就在那里”的东西,就像空气或水一样。这意味着它不被视为业务决策的一部分。例如,请求新应用程序的业务领导不太可能将“安全就绪”作为一项要求。
行动:将网络安全置于业务环境中,以便高管可以看到其决策的影响。
03
砸钱解决问题
安全不是砸钱就能解决的问题——无论您花费多少,都无法完全抵御网络攻击。试图阻止每一项有风险的活动,很可能会损害组织的运作能力。
行动:避免在安全方面的过度投资,这会增加运营成本,会损害组织实现业务成果的能力。
04
狭隘的安全观
如果安全人员仅被视为企业的安保人员,则会营造一种拒绝文化。例如,他们可能出于安全考虑而阻止关键应用程序的发布,而不考虑应用程序支持的业务成果。
行动:将安全定位为平衡保护需求和业务运营需求的功能。
05
正向激励
问责制应该意味着合理接受风险,而不是一旦出现问题就立马开人,否则将没有人愿意积极参与。
行动:奖励那些做出能平衡安全需求和业务需求的最佳决策的人。
06
糟糕的风险偏好声明
企业“不食烟火”的高标准风险声明往往会影响决策质量。避免承诺只从事低风险活动,因为这会产生无形的系统性风险。
行动:创建一个允许在定义的参数范围内接受适度风险的机制。
072
安全认知的黑匣子
当发生头条新闻的安全事件时,吃瓜群众期望看到的是高管引咎辞职。虽然这种处理方式对背锅者并不公平,但这就是几十年来企业界将安全视为黑匣子的结果。没有人真正了解它的真正运作方式,因此,当事件确实发生时,人们总是假设一定是有人犯了错误。
然而,除非从企业和IT部门开始以不同的方式对待和谈论安全,否则社会的安全观不会改变。
行动:直言不讳地平衡安全需求和业务需求,而不是让安全部门成为替罪羊。
08
缺乏透明度
一些董事会和高级管理人员根本不想听到或承认企业的安全能力并不完美。董事会报告中充满了关于安全方面取得进展的好消息,很少或根本没有讨论差距和改进机会。甚至有公司决定将安全职能转移到法务部门之下,来提高安全话题的调门。
行动:为了应对挑战,IT和非IT主管必须愿意了解和谈论安全工作方式的现实和局限性。
