将网络安全整合到组织的目标和风险中非常重要,原因有二。首先,网络安全影响到组织的方方面面。因此,为了妥善管理网络安全,必须将其纳入组织风险管理和决策制定。例如:运营风险可能受到网络安全的支持,因为它依赖于所使用的数字服务(电子邮件服务、定制软件等)的安全性。一些法律风险将与网络安全风险相关联(例如,保护数据或合作伙伴关系的合同要求,以特定方式处理数据的监管要求)。财务风险受到网络安全的影响(例如,网络欺诈造成的资金损失,以及服务因网络攻击而下线造成的收入损失)。良好的网络安全还可以让您在使用新技术进行创新时承担一些风险。对风险过于谨慎的方法可能会导致错失商机或增加(和不必要的)成本。其次,网络安全需要整合才能成功。良好的网络安全不仅仅是拥有良好的技术,还在于人们与安全建立良好的关系,并在整个组织中建立正确的流程来管理它。例如,为防止攻击者访问敏感数据(同时确保只有满足当前有效要求的人才能看到),您将需要:用于存储数据的良好技术解决方案对处理数据的员工进行适当培训与访问保持一致的流程managementReflectinstructure注:网络安全是整个领导层的责任,不要把网络安全留给一个人。网络安全事件将影响整个组织的关键事件,而不仅仅是IT部门。例如,它可能会影响在线销售、影响合同关系或导致法律或监管行动。领导层应该有足够的专业知识来指导网络安全战略并让决策负责。然而,领导团队的每个成员都需要足够的专业知识来了解它如何影响他们的重点领域,并了解对整个组织的更广泛影响。英国以外的网络安全:在试图了解网络安全对组织的影响和风险时,一个重要的考虑因素是组织运营所在的国家/地区。对于在英国境外运营或在英国境外拥有合作伙伴的组织,CPNI智能业务指南强调了这可能会如何影响安全考虑因素,包括网络安全。本工具包的“与供应商和合作伙伴合作”部分提供了有关如何减轻与这些关系相关的网络安全风险的指南。与专家接洽,考虑报告结构是否能让领导层参与他们需要的网络安全。如果CISO向领导层报告的中介只关注一个方面,无论是财务、法律还是技术——这可能会阻碍领导层看到网络安全更广泛影响的能力。在当今的大多数组织中,CISO直接向领导层报告。改善组织网络安全的一个良好起点是考虑专家与领导成员之间的沟通。获得正确的结构会有所帮助,但我们也经常看到双方都不愿意参与,因为:技术人员认为领导层不会理解他们(假设)领导层认为技术人员无法适应组织战略目标的背景解释问题(同样是推测性的)改善这两个群体之间的沟通是一项共同的努力:领导层需要深入了解网络安全,以了解它如何支持他们的整体组织目标技术人员需要意识到网络风险沟通是他们工作和工作的核心组成部分确保他们了解自己在促进组织目标方面的作用。
