的报告 战略与国际研究中心 揭示了组织中针对网络安全存在三种不匹配的激励措施:
- 组织的公司结构与犯罪企业的自由流动:攻击者的动机由分散的,流动的市场决定,而僵化的官僚制约束了防御公司和自上而下的决策系统。
- 战略和实施不当: 超过90%的组织制定了安全计划。但是,这些组织中甚至没有一半已经实施了这些政策。
- 高管人员与实施人员的关系:设计战略和衡量成功的高管人员的参数与实施网络安全团队的参数不同。
公司可以做什么?
没有一种方法可以将网络安全与战略执行相结合的所有解决方案;没有任何一种适用于所有企业的解决方案。根据其文化和环境,不同的技术适用于各种组织。但是,从广义上讲,对于实现网络安全的业务一致性而言重要的重要组织领域很少是:
文化: 在整个组织内发展一种文化,以将安全实践吸收到日常例行任务中,可能是实现安全目标的最佳解决方案。管理层可以定义安全策略,但是如果所有安全策略都不遵循安全策略,那么它将无法达到目的。如果每个人上下都在不妥协的情况下支持他们作为日常工作的一部分,即使对公司而言成本不高,也有最大的成功机会。涉及信息风险时,经理,用户,IT专业人员和其他所有人都应该能够做出明智的决策。
规划: 整个组织内安全性的战略和战术计划提供了最佳机会,使单个安全性项目与业务需求保持一致。最好在安全流程的规划中利用企业架构原则。将网络安全权利构建到企业体系结构中也为每个项目提供了被采纳和遵循的最佳机会。
流程: 实施行业标准系统,例如ISO 27001规定的信息安全管理系统(ISMS),可以根据组织的需要评估,开发和部署安全解决方案。这些过程对 组织的安全要求 一个连续的过程,而不是单个安全实施实例。
通讯: 有关事件,解决方案和其他与安全相关的活动的通信应定义为服务级别指标,并应纳入IT组织,用户和合作伙伴之间的服务级别协议中。
能力: 预计网络安全专家将具有技术技能。但是,为了与业务保持一致,他们还必须具有业务技能,例如对业务体系结构,个人沟通,市场营销的理解(对组织内部,专家和专家级以下的安全思想的了解)
技术: 这不仅仅是实现市场上可满足您要求的最佳工具。组织还需要建立与技术相关的最佳育种过程和实践。基于ITIL(V3)等标准的流程的实施可确保与IT服务集成的安全控件的技术集成。
人际关系: 任何部门与业务的一致性取决于决策者和利益相关者的合作与支持。安全无异。网络安全部门必须与关键人员保持一致,以了解业务情况并获取适当和必需的资源以使他们完成工作。
网络安全的业务一致性无法用一种万能的方法解决。它需要时间,资源和全面的策略,才能将安全性集成并构建到业务实践和组织的业务模型中。
没意见