最后更新于2024年5月10日(星期五)20:07:48 GMT
在你的组织中,究竟谁拥有网络安全?
作者:Sean Vogelenzang
很多人会说答案是显而易见的. 当然是首席信息安全官(CISO)和他或她的团队. 然而,事情并没有那么简单. 确定, 首席信息安全官及其团队负责制定战略并执行网络计划. 但, 每天都面临着大量的安全挑战, 它需要一种超越核心网络团队的积极主动和知情的方法.
在一个组织中,网络所有权经常被忽视或误解. 责任和问责不应只落在首席信息安全官的肩上. 同时,IT部门也将发挥作用, 安全责任必须在整个组织的文化中根深蒂固. 他们应该包括每个负责任的资产所有者,不要忘记数据也是一种资产.
培养网络安全主人翁文化可以增强安全领导者的能力, IT专业人员, 以及决策者有效应对安全挑战的能力. 这种方法不仅可以加强组织的安全态势,还可以将安全定位为创新和数字化的推动者. 你公司的安全就会受到更多的关注, 您的网络团队越有能力努力提高成熟度和更强的整体安全态势.
重新定义组织责任
而网络安全团队或IT部门则保持控制, 组织中的每个人都发挥着作用. 高管和管理层必须负责,并通过将网络安全作为优先事项来确定基调 业务目标. 他们应该自上而下地制定政策和框架, 网络团队或IT部门负责实施和执行. 通过分配资源, 建立政策, 促进安全意识的文化, 领导层发出了一个强有力的信息,即网络安全不仅仅是一个IT问题, 而是共同的责任.
安全责任还应该与特定的业务功能和违规的潜在影响保持一致. 例如, 在评估供应链风险时, 考虑数据访问和系统集成等因素. 这使您能够识别关键供应商,并优先考虑提高您的安全状况的努力.
将安全领导者更深层次地融入业务
安全领导者对于确保网络安全在组织的各个层面得到必要的关注和关注至关重要. 通过让专家参与全面风险对话和决策论坛, 您可以利用宝贵的见解和专业知识,有效地应对不断变化的安全挑战.
例如,许多董事会缺乏技术专长和网络安全知识. 这可能会阻碍围绕网络安全挑战和战略的有效风险管理和决策. 董事会级别的安全负责人将弥合这一知识鸿沟. 它有助于促进交流, 并确保成员在组织的数字环境中掌握网络安全的重要性.
员工意识培训
员工是预防和减轻安全风险的关键部分. 尽管这是非常普遍的理解,但只有34%的组织(普华永道数字信任洞察) 在全球范围内建立员工安全意识培训计划. 没有适当的意识和教育, 员工可能会在不知情的情况下从事危险行为或成为社会工程攻击的受害者. 这可能会导致潜在的数据泄露,并对您的组织造成重大的财务和声誉影响.
优先考虑定期的培训计划,为员工提供最新的知识和技能,以有效地识别和响应安全威胁,这是一个好主意. 这些培训项目应该涵盖一系列的主题, 例如识别网络钓鱼企图, 保护个人设备, 了解强密码和数据保护的重要性. 此外,培训应该根据每个业务单位的具体需求进行调整. 它还应该以一种能引起共鸣的形式发表, 例如交互式模块, 模拟网络钓鱼练习, 或车间.
考虑为企业内指定为安全冠军的个人提供额外培训. 这些倡导者将促进良好的安全实践,并鼓励和帮助他人, 同时在整个组织中保持安全意识的文化.
如何Rapid7可以帮助:管理威胁完成
而组织中的每个人都可以在维护良好的网络安全文化方面发挥作用, 有时得到一点额外的外部支持是有帮助的. 十大赌博正规信誉网址 确保对您的环境进行端到端监控, 24/7, 由精英SOC与您的内部团队透明地合作, 有助于进一步扩大你的资源.
促进透明度和相互支持
近年来,数据隐私和安全法规越来越严格. 像这样, 不遵守规定的后果可能很严重, 从经济处罚到名誉损害——甚至对董事会和董事采取法律行动.
组织现在有义务保护他们收集和处理的个人和敏感数据. 让您的组织熟悉所需的数据隐私法律,可以帮助您建立适当的保障措施,并避免巨额罚款. 例如, 电讯等行业, 银行, 医疗保健, 能源, 运输也要遵守专门的规定, 如 关键基础设施政策.
虽然法律义务是网络安全的一个重要方面, 您还必须在遵从性和业务需求之间取得平衡. 尤其是小企业,在满足广泛的法律要求方面可能面临挑战. 然而, 通过战略性地接近合规性并优先考虑资源, 小型企业可以在不损害保护的情况下制定有效的网络安全措施.
这是每个人的事
ciso和他们的团队负责制定战略, 提供网络风险的可视性和指导, 并与业务部门合作执行网络计划. 通过为员工提供自主权,让他们成为数字化未来的守护者,抓住机会加强网络安全态势. 这反过来又解放了安全团队的时间,使其专注于为业务增加更大价值的高级网络措施.
