过去,许多企业都以一种被动的、临时的和战术的方式来处理他们的网络安全战略——在漏洞出现时迅速且仓促地修补漏洞。但如今,持续的混合劳动力以及对安全实时访问关键业务数据的需求,都迫使企业将网络安全战略视为首要任务和关键业务目标。
在正确地重新评估企业的网络安全战略时,每个领导团队都应采取下述三个基础步骤:
(1) 目标:改变“网络安全即枯燥术语”的内部叙述方式,将其重新定义为基本的业务优先事项。
方法:创建一个由高级领导者组成的专门委员会,在决策者层面倡导网络安全战略。该组织负责根据审计输出创建满足企业当前和未来特定需求的指导性网络安全战略,并确保具体实践与该战略保持一致。
(2) 目标:诚实地了解企业当前的网络安全方法——尤其是已经采取的“捷径”和从一开始就被搁置的需求。
方法:全面审核企业当前的网络安全框架。确认盲点并按风险和重要性级别对当前漏洞进行分类。考虑在过去12-24个月内哪些优先事项已经发生了变化或过时。
(3) 目标:造势/创造动力
方法:将网络安全战略优先事项整合到2022年下半年的总体业务计划中,为全面融入2023年预算和财务计划开辟道路。创建每月/每季度检查点并确定关键期限以确保问责制。确定立即采取的后续步骤并保持稳步进展。
结语
随着金融服务组织适应由疫情大流行、数字化加速和市场波动带来的快速变化和复杂化的网络安全环境,现在有一个独特的机会来重新评估和创建满足企业当前需求的网络安全战略。网络安全已从业务部门驱动的任务转变为首要的企业目标。现在,是时候采用一种全面的网络安全方法来反映这种变化并确保满足企业的需求,以应对这种迅速变化的网络安全格局。