管理网络安全是谁的工作?提示:不要再指着CIO了

过去两年，从Colonial Pipeline和SolarWinds到JBS肉类生产公司，重大网络安全事件急剧上升。考虑到网络入侵的高成本和高频率，88%的董事会现在承认网络安全是一种商业风险，而不仅仅是一个IT问题——这一比例从五年前的58%上升到现在。

然而，组织并没有改变问责文化以反映这些更新的视图。在接受Gartner 2022年董事会调查的85%的组织中，CIO或CISO仍然承担着网络安全的主要责任。

立即下载:网络安全事件响应计划中的3个必备事项

首席信息官们必须重新平衡网络安全责任，以便与商业和企业领导人共享保罗•普洛克特高德纳公司杰出的副总裁分析师。“他们被认为是保护企业安全的最终决策者和权威，但实际上，业务领导者每天都在做出影响组织安全的决定。他们应该共同承担责任。”

为促进向网络安全责任共担模式的转变，应积极主动地与董事会合作，建立责任共担的治理模式，并与业务领导者合作，制定控制方案，在保护与业务需求之间取得平衡。从评估网络安全现状作为一个商业问题的短期实践开始，然后是一套长期行动，以定义一个新的共享问责治理模型。

安全的电子书:2022年领导愿景

导游:关于网络安全你需要知道的一切

5个问题来评估网络安全作为商业问题的现状

这些问题可以让你初步了解企业在与IT部门分担网络安全责任方面的准备情况:

1. 在没有安全人员协助的情况下，组织能否做出风险决策?
2. IT部门能解释每个安全控制的业务价值吗?
3. 与组织的安全控制相关的度量反映了什么:保护级别(技术角度)还是操作功能(业务角度)?
4. 与业务目标相比，安全决策中有多少时间是花在恐惧、不确定性和怀疑上的?
5. 安全计划是否能得到客户、股东和监管机构的支持?

阅读更多:证明网络安全计划有效的4个指标

转向共同问责制

明确了您的组织在分担网络安全责任方面的准备程度后，您可以采取措施让其他业务领导者参与决策和权衡。例如:

1. 分享网络安全决策。介绍与网络安全方法和投资相关的可用选项，并包括与每种方法相关的风险和成本。提供信息并让商业领袖参与决策，使他们更有可能承担责任。
2. 沟通风险、价值和成本的最佳平衡。通过衡量每个业务部门在应对已知风险方面的准备程度，以及这样做的成本，帮助确定网络安全投资的优先级。创建一个可视化矩阵以支持快速的跨业务单元比较。
3. 利用信誉和声誉——而不是恐惧——来激发责任感。专注于共同的目标将有助于促进与业务伙伴的沟通和协作。