将网络安全集成到组织的目标和风险中,如此重要有两个原因。
首先,网络安全会影响组织的各个方面。因此,为了正确管理网络安全,必须被整合到组织风险管理和决策中。例如:
- 运营风险可能会受到网络安全的支持,因为依赖于于使用的数字服务(电子邮件服务、定制软件等)的安全性。
- 一些法律风险将与网络安全风险联系在一起(例如保护数据或合作伙伴关系的合同要求,以特定方式处理数据的监管要求)。
- 财务风险受到网络安全的影响(例如,通过网络实施的欺诈造成的资金损失,以及服务因网络攻击而脱机时的收入损失)。
- 良好的网络安全还将允许您在使用新技术进行创新时承担一些风险。过于谨慎的风险处理方法可能导致错失商机或额外的(和不必要的)成本。
其次,网络安全需要整合才能成功。良好的网络安全不仅仅是拥有良好的技术,而是人们与安全部门建立良好的关系,并在整个组织中建立正确的流程来管理它。
例如,为了防止攻击者访问敏感数据(同时确保只有具有当前有效要求的人才能看到它),您将需要:
- 存储数据的良好技术解决方案
- 对处理数据的员工进行适当的培训
- 围绕管理员工流动的流程,与访问管理保持一致
在结构中反映注意内容:
网络安全是整个领导层的责任,不要把网络安全留给一个人。
网络安全事件将影响整个组织的重要事件,不仅仅是IT部门的重要事件。例如,可能会影响在线销售,影响合同关系或导致法律或监管行动。领导层内部应有足够的专业知识,以便为网络安全战略提供指导,并将决策追究责任。然而,领导层的每个成员都需要足够的专业知识来了解它如何影响他们的重点领域,并了解对整个组织的广泛影响。
英国境外的网络安全:在尝试了解网络安全对组织的影响和风险时,一个重要的考虑因素是组织在哪个国家/地区运营。对于那些在英国境外运营或在英国境外拥有合作伙伴的组织,CPNI智能业务指南强调了这可能如何影响安全考虑因素,包括网络安全。本工具包的“与供应商和合作伙伴协作”部分提供了有关如何缓解与这些关系相关的网络安全风险的指导。
与专家互动
考虑报告结构是否使领导层能够参与其所需的网络安全。如果CISO向领导层报告的中介机构只关注一个方面,无论是财务还是法律或技术-这可能会阻碍领导层看到网络安全更广泛影响的能力。现在在大多数组织中,CISO直接向领导层报告。
改善组织中网络安全的一个好起点是考虑专家与领导层成员之间的沟通。获得正确的结构可能会有所帮助,但我们也经常看到双方都不愿意参与,因为:
- 技术人员认为领导层不会理解他们(属于臆测)
- 领导层认为技术人员无法在组织战略目标的背景下解释问题(同样属于臆测)
改善这两个群体之间的沟通需要双方的努力:
- 领导层需要对网络安全有足够深入的了解,才能了解网络安全如何支持其整体组织目标
- 技术人员需要认识到网络风险的沟通是他们工作的核心组成部分,并确保他们了解自己在促进组织目标方面的作用。