2021年11月22日
2021年11月22日
贡献者:苏珊·摩尔
文化和系统问题可能会让你的组织变得脆弱。
许多商业领袖仍然认为,如果他们投入足够的资金,雇佣具有正确技术知识的正确人才,网络安全是一个可以解决的问题,可以让他们远离头条新闻。
事实上,通常是it和非it高管之间的系统和文化问题,而不是技术能力或资金,使组织暴露在网络安全攻击之下。
立即下载:网络安全事件响应计划中的3个必备事项
“这些问题为cio和ciso提供了机会,让他们重新思考如何聘用非it高管优先考虑安全问题。保罗•普洛克特高德纳公司杰出的副总裁分析师。
你可以减少网络攻击的风险通过解决这些导致组织失败的主要原因。
企业每天都会做出对其安全准备工作产生负面影响的决定:例如,拒绝关闭服务器进行适当的补丁,或者选择继续使用旧的硬件和软件来节省预算。这些未报告的决定导致了一种错误的安全感,并增加了事件发生的可能性和严重性。
安全的电子书:2022年领导愿景
行动:作为正常安全治理的一部分,认识、报告和讨论系统性风险。
非it高管仍然将安全视为“就在那里”,就像空气或水一样。这意味着它不被认为是业务决策.例如,业务负责人请求一个新的应用程序时不太可能将“安全准备”作为需求。
行动:把网络安全放在商业环境中,这样高管们就可以看到他们的决策的影响。
你不能花钱解决问题——无论你花多少钱,你都无法完全抵御网络攻击。如果你试图阻止每一个有风险的活动,你很可能会损害组织的运作能力。
行动:避免在安全方面的过度投资,这会增加运营成本,但损害组织实现业务成果的能力。
如果安全官员如果你被视为(并充当)组织的捍卫者,它就创造了一种“不”的文化。例如,他们可能会出于安全考虑而阻止关键应用程序的发布,而不考虑应用程序支持的业务结果。
行动:职位安全是一种平衡保护需求和经营业务需求的功能。
问责制应该意味着接受风险的决定对关键利益相关者来说是站得住脚的。如果问责制意味着如果出现问题就会有人被解雇,那么就没有人会参与其中。
行动:奖励那些在保护企业和经营企业之间做出最佳平衡决策的人。
组织创建了关于他们风险偏好的一般性高层声明,这些声明并不支持良好的决策制定。避免承诺只从事低风险的活动,因为这可能会产生看不见的系统性风险。
行动:创建允许在定义的参数内接受风险的机制。
当一个头条新闻安全事故碰巧,社会只是想要人头落地。虽然这并不公平,但这是几十年来将安全视为黑匣子的结果。没有人知道它是如何工作的,因此,当一个事件发生时,人们会假设一定是有人犯了错误。
然而,除非组织和IT部门开始以不同的方式对待和谈论安全,否则社会不会发生变化。
行动:在保护需求与经营业务需求之间保持平衡,而不是寻找替罪羊。
一些董事会和高管只是不想听到或承认安全问题并不完美。董事会报告都充满了有关安全方面取得进展的好消息,却很少或根本没有讨论存在的差距和改进的机会。我们知道有一家公司甚至决定在法律顾问的陪同下转移保安,以便保密讨论。
行动:为了应对这些挑战,IT和非IT高管必须愿意理解和讨论安全工作方式的现实和局限性。
加入您的同行,在高德纳会议上揭开最新的见解。
为Gartner客户推荐的资源*:
*请注意,有些文档可能不是所有Gartner客户都能获得。