这取决于公司的规模,推动安全发展最有影响力的人可能是高管,他们可能是董事会成员,但非执行管理层,有时甚至是直接负责IT/安全的人,也将是强大的推动力。无论是谁,每个公司都需要一个人,让安全不仅仅是预算清单上的一项,而是公司整体文化的一部分。然而,更常见的是,公司出于以下两个原因之一优先考虑安全性。认真对待安全的公司要么拥有相信安全很重要的积极领导团队,要么拥有经历过重大事故的公司。这就是为什么在许多情况下,人的影响力不如事件。虽然大多数高管都希望潮流有所改变,但现状更能说明问题。当然,肯定有公司担心灾难或缺乏监管驱动因素,但这通常是因为其他公司需要这样做。因此,安全团队需要很长时间才能改进的情况更为普遍。最大的问题之一是部署双因素身份验证。不仅在防火墙上,而且在数据中心内部设计的所有系统上。此外,网络分段、补丁和漏洞管理也存在许多问题。有时是外部因素而不是内部因素推动了公司安全的发展,特别是在企业并购中,因为收购方会要求对方的网络安全保护,例如雅虎的收购过程因数据泄露而暂停,甚至可能被取消。”这些问题的根源在于管理的失败。这是一个管理问题,而不是技术问题。--DarrellDristek,信息系统安全协会(ISSA)高级会员和国际信息系统审计协会(ISACA)主任。在公司内部,真正相信并重视安全的管理团队具有最大的影响力。没有这个,你就是从山脚下攻打山顶,想要取胜几乎是不可能的。只要没有真正相信安全很重要,安全就会从优先列表中删除。任何想要推动安全发展的公司都需要务实而有力的安全代言人——CISO或高级安全人员。一个知识渊博的领导团队不会关心检查和检查式的正式安全,他们会询问坏人他们是如何做事的,他们会关心我们需要什么来阻止坏人的破坏性行为。因此,较小的公司面临更大的挑战。Tychon的首席技术官TravisRosjek说:“他们经常人手不足且预算紧张。”优先事项。“一个人同时领导IT和安全,他们几乎没有机会在降低整体风险的不同方面拥有深入的专业知识。小公司的高管职位是为了预算而战,安全只是其中的一部分IT预算。”一小部分。IT预算不多,分配给安全的一部分不会有效果。但是,小公司在某些方面也有优势。他们的IT和安全团队通常是强大且独立的。当出现危机或可疑事件时,他们可以很好地组织和协调。随着越来越多的公司意识到每个员工都是目标,董事会的参与度也越来越高。但是,很多公司仍然觉得威胁是针对其他公司的,而不是我自己。这些比较成熟和有进取心的公司会设立有实权的CISO或CIO。从成熟度的角度来看,当CISO直接向CIO报告并在董事会中有发言权时,公司才真正重视安全。另一方面,当CISO不存在并且比高管低三四级时,他们就更难争取预算。这就是为什么在任何公司中真正想要促进安全发展的人都需要能够直接与风险负责人沟通。无论是财富500强公司、中型公司,还是小型夫妻店,风险所有者都必须确定自己的风险承受能力。安全感是必须的,但很少有人愿意真正去考虑安全感。作为安全人员,他们必须为他们简化流程并教会他们数据的价值。只要涉及到钱,大多数公司高管都不敢尝试忽视风险,但一涉及到数据,这种认知就出现了差距。为什么风险负责人和安全经理之间需要直接进行沟通?这就是为什么。那些认识到风险与业务直接相关的组织也是为高端安全计划铺路的组织。世界500强公司通常有严格的制度,信息会经过层层筛选后传达给董事会董事。在大多数情况下,这些正式或非正式的沟通让安全团队能够将信息传递给合适的人。数据质量,包括完整性安全性和可用性是筛选标准。安全风险就是商业风险。合规性只是弱安全,无非是保险问题。对于中小型企业,安保人员通常直接与企业主或与企业主关系密切的人打交道。除非你有正确的打开方式,否则很难说服他们注意。数据质量和企业保护计划才是正确打开方式。数据丢失和被盗的高发是懒惰和懒惰的结果。所有这些问题的根源,都是管理上的失误。这是管理问题,不是技术问题。最高管理层必须为公司定下基调。为什么大公司的CISO往往是战略和预算背后的驱动力?这就是为什么。在财富50强企业中,经常可以看到CISO参与度很高,董事会也参与其中。IT成为董事会的常规话题。当更多的利益相关者参与进来时,它为更大的预算和更务实的对话开辟了空间。这让每个人都在思考更广泛的问题。如果是制造商,就会有更多的利益相关者需要被拉进来。最敏捷的公司,即那些在可用预算和快速响应能力之间找到平衡的公司,是全球2000强公司。这些公司的规模恰到好处,可以按照自己的步调前进并与市场保持同步。他们将进行自己的研究,而CISO可以使用更大的团队来推动安全进步。无论公司规模大小,最大的影响来自于公司利益相关者的情感支持。因为安全发展需要跨越的最大障碍是“安全就是各种限制”的认知,所以安全主管需要建立良好的关系来获得利益相关者的支持。【本文为专栏作家李绍鹏原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】
