如何创建安全至上的心态

当每个人都了解安全如何使业务更强大时,安全程序才能发挥最佳作用。

 值
AT&T

网络安全首先是业务挑战。许多公司开始意识到这一点,因为去年由于大流行而扩大了数字化转型计划,扩大了攻击面,并带来了相关的网络风险。对于不确定如何在整个组织中创建安全至上的心态的企业,这里有五个主要注意事项。

使安全性与业务目标和成果保持一致。 

随着高级管理人员的利益相关者发展,改变和实现其总体业务目标,对于CISO和安全领导者来说,从一开始就进行对话非常重要。对业务目标的即时视线帮助安全领导者开发了定制的,可扩展的和高度安全的系统,以帮助实现期望的业务成果。 

随着时间的流逝,我们将看到更多的CFO混合其角色,以与CISO进一步集成,从而帮助该公司将安全投资和风险与底线联系起来。通过确定安全性的业务利益来开始对话。例如,更好的安全性意味着公司无需因为违规而关闭运营,从而减少了停机时间并提高了生产率。

整个高级管理人员应共同确定哪种网络安全措施最能满足公司现有和未来的业务成果以及财务利益。

忘记短期投资回报率指标.

希望将安全性与业务成果联系起来的企业领导者需要减少对短期投资回报的思考,而将安全性作为一项长期投资来考虑。如果将安全性捆绑到短期ROI指标中,则很难证明结果的合理性。这就是为什么多年来将安全性作为保险单出售的原因,这是企业高管可以理解的。当然,一旦发生这种情况,安全计划便无济于事,因为企业高管常常不了解风险,或者他们愿意抓住机会。 

今天,他们别无选择。威胁(以及停机,收入损失和IT设备损坏对业务的负面影响)已得到充分记录。当我们看待形成强大安全性状态而不是形成不成熟状态的安全性状态时,首先要从高管达成协议并了解强大的安全程序的长期利益。如果公司可以培养安全第一思想的长期支持,那么成功的可能性将无可估量地增加。 

尽管许多公司由于使用COVID而施加财务限制,但削减安全投资以实现短期ROI可能会导致灾难性的短期结果,并且可能没有长期选择。

将音调设置在顶部。

CEO需要在安全性方面发挥领导作用。当首席执行官将安全性作为使公司变得更强大,更安全和更具战略性的关键要素时,安全计划将发挥最佳作用。强大的安全性使企业领导者可以专注于最重要的方面-创新,市场增长和盈利能力。  

CISO和安全主管经常为企业制定安全计划,该计划每年与员工共享一次。不幸的是,他们没有得到足够的重新审视或交流,以使其产生共鸣并产生所需的业务影响。

由于安全团队是负责公司安全实践的唯一沟通者和唯一团队,因此过时的误解和实践仍然存在。随着公司采用“安全第一”的思维方式,沟通和教育方面的空白需要填补。  

公司如何填补这一空白?在员工会议,员工培训,年终评估,业务战略会议,预算计划会议以及合并和收购评估中,将安全性作为业务讨论的常规主题。安全属于每个人。

安全至上的心态将安全放在了业务的前沿和中心,进而形成了在议程上进行更多讨论的需求。 

不断评估风险。

对于任何适应和变化的业务,持续评估风险至关重要。了解公司在发生意外情况时将如何处理业务中断,意味着组织必须了解风险。

当组织进行数字化转型时,他们必须确定自己对风险的偏好以及可以吸收的变化率。规划过程的一部分需要包括在战略,战术和运营级别上进行的持续风险评估。公司应确定任何计划的风险,并且在发生中断的情况下,应采取足够灵活的策略来避免任何已确定的风险。

任何强大的网络安全实践均与业务线经理协同工作,以不断识别风险及其对业务的影响。

为员工创建共同责任模型.

对于企业而言,对员工进行安全性分担责任教育比以往任何时候都更为重要。毕竟,人为因素代表了任何组织中的大部分风险。

作为此培训的一部分,员工需要了解安全性可以促进他们开展的业务和工作。例如,更好的身份验证方法使员工可以更轻松地访问应用程序并完成工作。如果员工连接到他们的工作,他们将连接到更好的安全性需求。 

高管无需深入研究安全性的技术组成部分,就可以以一种更加个性化的方式与员工建立联系,共享和建模安全第一的心态。例如,当共享受损的凭据和勒索软件的影响时,执行人员可以传达这些网络威胁不仅发生在工作场所,而且还发生在个人设备上。  

从公司高级职员到实习生,安全性属于公司的每个员工–每个员工都拥有一块暴露的攻击面。但是,当每个人都知道安全可以使业务更强大并且工作更轻松时,安全程序才能发挥最佳作用。

看这个 视频 学习如何在&网络安全可以帮助您更安全地进行业务创新。

有关:

版权© 2021 IDG通讯,Inc.