如今,网络安全和威胁防范已成为许多企业领导者关注的焦点。现在,网络威胁的规模越来越大,复杂程度和严重程度也在不断提高,领导层的战略必须做出调整,以应对这股新的网络犯罪浪潮。
尽管许多大型老牌企业在保持稳健的网络卫生方面进行了大量投资,但它们还是亲眼目睹了数据泄露或事件的破坏性。随着各组织通过多种攻击载体应对破坏性越来越大的攻击风险,对果断、切实的网络领导力的需求变得前所未有的重要。
网络攻击只是 “何时 ”的问题,而不是 “是否 ”的问题。然而,具有远见卓识和前瞻性思维的网络安全领导者有能力在其组织内培养一种统一的意识文化,为其团队设定一个理想的基准。
网络成熟度不是一朝一夕就能形成的,但只要方法得当、心态正确,首席信息安全官(CISO)和其他行政领导就能为网络成熟度的形成奠定基础,并自上而下地促进健康的网络卫生,让公司里的每个人都能从中受益。
网络安全领导力不断演变的作用
过去,网络安全总是被认为是一个纯粹的技术领域。现在,网络安全已经发展成为一个战略性的业务问题,需要任何组织的最高层(无论其属于哪个部门或行业)给予持续的关注和重视。
我们已经到了这样一个阶段:成功的网络安全领导者必须是值得信赖、有亲和力的人,能够在技术熟练程度和专业知识与良好的商业敏锐度之间架起一座桥梁。
网络安全领导者,尤其是没有技术背景的领导者,必须能够展示正确的领导策略、沟通技巧和业务原则,以便在复杂的环境中进行有效管理。很多首次担任首席信息安全官(CISO)或首席信息官(CIO)的人都会接受高管辅导培训和导师指导,以强化自己的战略,更重要的是,不能被视为 “局外人”。
企业(进而包括其客户和供应商)希望得到可以信赖的人的保证。他们的活动和信息必须在预防、检测、反应和恢复方面得到充分保护,被任命的网络安全领导者必须有能力应对逆境和不确定性。
高效网络安全领导者的关键特征
1. 商业敏锐度
成功的网络领导者必须展现的不仅仅是技术专长和能力。他们必须是有价值的企业 “内部人”,对企业的历史、运营、挑战和战略目标有扎实的了解。
通过使用业务语言,明确说明网络安全如何支持这些目标并与之保持一致,领导者可以开始与整个组织的利益相关者和其他高管建立信任。领导者要想获得内部和外部相关方的认可,就必须将网络安全计划(无论多么重大)与总体业务战略结合起来,并将其作为核心优先事项。
领导者必须定期与业务部门接触,了解他们的具体需求、挑战和成功经验,以取得跨部门的一致。对于非技术职能部门,任何可能难以掌握的技术或复杂概念都必须转化为易于理解的散文,突出业务影响和风险。
2. 积极倾听和利益相关者的参与
有效的网络安全领导者是可靠的理性代言人和良好的倾听者。他们明白,成功的安全流程、政策和计划需要内部和外部的支持。这意味着,网络领导者必须积极倾听众多利益相关者和决策者以及负责维护买方与供应商协议的人员的担忧、挣扎、优先事项和目标。
了解和利用所有这些信息,可以帮助领导者制定响亮的安全战略,积极应对和解决许多现有的挑战。因此,任何即将实施的网络计划的认可度和透明度都更有可能获得信任。《NIST 网络安全框架 2.0》是一个很好的参考起点,可作为构想和执行战略的参考。
考虑定期召开利益相关者和跨职能团队会议,以收集反馈并应对新的和不断变化的网络安全挑战。同样,花时间收集已解决、控制和隔离的任何问题的情报,以评估计划的有效性。
3. 长期愿景与坚韧不拔
彻底改变组织的网络安全态势和成熟度绝非一蹴而就。长期的承诺和参与至关重要,即使是雄心勃勃的网络安全领导者也认识到了这一点。如果你能证明自己已经做好了坚持到底的准备--即使面对可能出现的挫折、阻力和变化--你就更有可能获得同行和更广泛团队的认可。
制定全面的多年期战略,以应对不断发展的网络威胁、先进的技术和不断变化的业务需求,这将是衡量网络卫生工作的关键标准。月度和季度绩效审查将使您能够在孤立的情况下评估和仔细检查细粒度数据,同时积极审视组织在实现其核心目标方面的轨迹。
一个长期的网络安全路线图,包括现实的、可实现的里程碑,将为各部门和高管提供努力的衡量标准。渐进式的成功应该得到庆祝和支持,而失败--虽然完全有可能--必须被用作学习的机会,而不是训斥或淡化其他成就的借口。
鼓励整个组织提高网络意识
说到网络犯罪和数据泄露,第一道防线往往是公司内部的员工。
培养一种文化,让每个员工和利益相关者都了解自己在维护安全态势中的作用,是领导者的关键职责。这种文化转变对于创建与技术安全解决方案和流程相辅相成的组织稳健性至关重要。
领导者必须在日常活动中表现出良好的网络礼仪,以身作则,为组织的其他成员树立效仿的标准。对于技术能力不如 IT 管理员和开发人员的员工,实施持续的安全意识计划,让他们了解新的威胁和最佳实践,将有助于成倍地提高他们的技能。模拟演练和激励措施也将大大有助于强化安全知识,尤其是在发生入侵事件时与个人角色相关的知识。
要想获得在组织中建立安全意识文化的灵感和想法,SANS 安全意识计划提供了大量的资源和工具。
从根本上说,建立清晰、开放的沟通渠道,用于报告安全问题和询问有关政策和流程的相关问题,对于维护网络就绪文化至关重要。
呼吁建立有效的网络安全领导层
网络威胁将继续发展和扩大,为企业带来新的漏洞,这已不是什么秘密。高瞻远瞩的网络安全领导者的角色也将继续发生转变,其重要性也将与日俱增。有效利用技术和上述顶级战略,将为维护整个企业的网络卫生提供额外的推动力。从长远来看,如果您在整个组织中做好准备并保持一致,那么您在面对新的威胁和挑战时将会处于更加有利的地位。
对于长期、系统的网络安全方法--特别是与信息管理系统相关的方法--ISO/IEC 27001 标准是一个久经考验的框架,企业领导者应努力建立这一框架。
对于希望加强网络态势并实施与访问控制和身份管理相关的强大解决方案的公司,GlobalSign 可提供一套全面的解决方案。从数字身份平台和证书自动化管理到 PKI 托管服务和物联网设备管理,我们提供专业知识和工具,支持雄心勃勃、具有前瞻性思维的网络领导者保护其业务和数据。了解更多有关我们的解决方案如何帮助您在整个企业内保持出色的网络卫生状况的信息。
注:本博客文章由特约撰稿人撰写,目的是为我们的读者提供更广泛的内容。本特约撰稿人文章中表达的观点仅代表撰稿人本人,不代表 GlobalSign 的观点。
