人们很容易迷失在网络安全的技术世界中——信息技术业务依赖于大量的缩写词、技术用语和特定功能的术语。在应对网络和数据安全风险状况时,外行希望听到很多有关技术驱动的解决方案的信息。事实上,我们花费了大量时间来审查、评估和选择特定的解决方案以纳入整体安全框架。
依赖这些解决方案而不解决人为因素的首席信息安全官错过了任何网络合规计划中最重要的要素。只是为了说明另一个对显而易见的深刻理解——人类/员工负责执行业务职能,最终,网络合规计划必须纳入强大的以人为本的控制。
这听起来像是很多胡言乱语。让我试着把这件事归结起来。人类必须设计和实施以网络为中心的控制措施。人们必须就这些控制措施进行沟通,以确保每个人都遵守特定的协议。网络安全专业人员表现出强大的人际交往能力,尽管他们在高技术领域工作。
网络安全合规计划的成功取决于人。安全能力和功能融入人的“因素”的程度越高,成功的机会就越大。最终,人员推动安全成功和长期绩效。
安全系统的设计必须通过教育员工了解安全控制、识别潜在异常、对潜在威胁做出适当响应以及根据现有控制进行操作来提高员工绩效。安全控制在纸面上可能看起来不错,但它们在现实世界中的实施和遵循方式决定了安全风险管理计划的整体功效。
员工不仅要了解安全意识,还要了解安全意识。事实上,他们需要了解安全控制、控制背后的目的以及实施和遵循此类控制的方式。CISO 应始终检查过去的网络安全事件,以寻找根本原因、控制效力和员工行为。
网络安全领导者往往专注于技术解决方案,而没有适当考虑人的因素——作为第一步,首席信息安全官需要管理技术和人才,以最大限度地提高能力——技术和人际交往能力。一个关键来源可能是内部技术团队,可以从中识别有才能的个人来开展职业发展计划。
随着网络安全和技术在组织内的重要性日益增强,越来越多的员工将在各自工作中履行技术职能。网络安全必须围绕公司的运作方式构建——这意味着网络安全控制必须根据组织的工作流程和人员组织进行定制。
通过这种集成方法,CISO 可以开发有效的评估实践,以持续了解其面临的威胁。这是公司进行有效安全投资的关键要求。在这一领域,CISO 必须使用网络安全验证来检查如何使用技术、流程和工具来验证潜在黑客如何利用特定威胁。通过整合强大的验证协议,CISO 可以实施可重复的评估、制定基准并通过适当的安全控制进行响应。大多数公司正在转向网络安全平台,就像其他风险管理工具一样,以巩固网络安全功能,例如治理、特权访问和其他访问管理功能。
任何网络安全合规计划的一个关键组成部分是董事会的参与和监督。很多时候,公司董事会未能参与和了解网络安全,而是在很大程度上服从 CISO。通过避免学习曲线,董事会因董事会监督和监控失败而产生额外风险,从而使公司面临风险。越来越多的董事会正在聘请具有网络安全专业知识的董事会成员。这是一个值得欢迎的发展。