CEO最近收到的信息和报告鼓励他们思考信息和网络安全风险。然而,并不是每个人都了解如何应对这些风险及其对组织的影响。在当今的全球商业环境中,首席执行官和董事会成员需要全面了解正在发生的事情,以及为什么需要正确理解和解决潜在风险。如果没有深刻的理解,风险分析和由此产生的决策可能会有缺陷,导致组织承担比预期更多的风险。在评估了当前的威胁形势之后,CEO们应该特别关注四个主要的信息安全领域,并在日常运营中熟悉它们。1.风险管理网络空间正日益成为犯罪分子、激进分子和恐怖分子的猎场。他们想要赚钱、获得关注并制造混乱。在过去的几年里,我们看到网络犯罪分子之间更高层次的合作,以及更高水平的技术能力,让许多大型组织措手不及。CEO必须准备好面对不可预测的情况,这样他们才能承受意外的高影响事件。网络犯罪和一些网络活动(黑客行动主义)的增加、合规成本的增加以及在安全部门投资不足的背景下继续发展的黑客技术将为企业带来许多危机。能够识别关键业务的组织可以更好地量化业务案例并投资于弹性计划,以最大限度地减少不可预见事件的影响。2、避免对企业声誉的损害黑客变得更有组织性,手段变得更加复杂,各种威胁也变得更加危险,这些都给企业声誉带来了更多的风险。此外,供应商、客户和合作伙伴之间的品牌声誉和动态信任越来越多地成为网络犯罪分子和攻击性黑客的目标。面对瞬息万变的威胁形势,我们经常看到企业落后,有时只是在他们的声誉和资产受到损害之后。CEO需要确保他们已做好充分准备来应对出现的挑战,并使他们的组织能够更好地应对对企业声誉的威胁。这似乎是显而易见的,但您越快应对这些对您的商业声誉造成的威胁,您就会获得更好的结果。3、保护供应链安全在寻找可能导致信息安全漏洞的重点领域时,要关注供应链。供应链是当今全球经济的支柱,企业越来越关注管理重大供应链中断。因此,CEO们应该关注他们的供应链面临多重风险的程度。企业必须关注其供应链中最薄弱的部分。不幸的是,在当今复杂的全球市场环境中,并非所有网络威胁都可以提前预防。积极主动意味着您和您的供应商能够在事情发生时做出更快、更明智的反应。在某些极端情况下,这种准备和弹性对于竞争力、财务健康、股价甚至企业的生存都具有决定性意义。4.员工意识和内在行为组织不断加大对“发展人力资本”的投入。如果没有公司价值观的陈述,任何CEO演讲或年度报告都是不完整的。这背后的含义是,员工意识和安全意识培训将始终提供未经证实的价值——员工满意度已经可以了。这已不再是这种情况。当今的CEO经常要求对他们需要选择的项目进行ROI预测,与员工意识和培训相关的项目也不例外。评估和展示这些培训的价值已成为企业的当务之急。然而,由于组织的人员结构、过去的经验、成就和目标千差万别,因此还没有既定的过程和方法来证明培训带来了员工信息安全行为的改变。许多组织都在开展与“提高安全意识”主题相一致的活动,但真正的业务驱动因素应该是风险以及如何通过新行为来降低风险。现在是将注意力从意识转移到行动的时候了。首席执行官们更加精通网络,监管机构和利益相关者继续推动加强监管,尤其是在风险管理领域。行为改变可以帮助CISO对CEO和其他高级管理人员提出的相关问题做出满意的回答。领先于潜在的安全困境:各种形式和规模的组织在日益网络化的世界中运作,传统的风险管理模型不再足够灵活,无法抵御网络活动带来的风险。组织必须优化风险管理以建立风险弹性,建立在准备的基础上,从业务可接受性和风险分析的角度评估威胁因素。面对不断升级的安全威胁和快速变化的威胁形势,组织有不同的控制措施,但我经常看到企业落后,有时只是在声誉和资产损失之后。首席执行官需要带头,评估当前形势,并确保他们的组织已准备好迎接这些新出现的挑战。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
