最近備受矚目的網(wǎng)絡(luò)攻擊應(yīng)該足以警示企業(yè)迅速采取行動,調(diào)研機(jī)構(gòu)德勤公司的一份報告表明,網(wǎng)絡(luò)安全預(yù)算占到企業(yè)整體IT預(yù)算的10%以上。如果沒有適當(dāng)?shù)馁Y源,首席信息安全官無法有效保護(hù)企業(yè)免受威脅——但當(dāng)企業(yè)受到攻擊時,首席信息安全官往往首先受到指責(zé)。
首席信息安全官為了獲得正確開展工作所需的資產(chǎn),需要在網(wǎng)絡(luò)安全方面投入時間、注意力和資金。以下是首席信息安全官與企業(yè)高管和董事會成員討論網(wǎng)絡(luò)安全的一些有用的方法。
按自己的方式工作
作為企業(yè)中的一個新角色,首席信息安全官可能尚未被企業(yè)領(lǐng)導(dǎo)團(tuán)隊理解,也可能沒有在企業(yè)管理層占有一席之地。一些首席信息安全官也可能由首席信息官和首席技術(shù)官等其他IT領(lǐng)導(dǎo)者管理,因此難以在其他高管和董事會成員之間建立信任。即使員工和其主管關(guān)系很好,一些信息可能會在通過指揮鏈時發(fā)生變化。
當(dāng)然還有其他的表達(dá)方式。其中一種方法是開始與其他領(lǐng)導(dǎo)成員建立良好的溝通。首席信息安全官可以嘗試與企業(yè)股東一對一會面,分享想法、進(jìn)行非正式對話或?qū)ふ颐擞选?/div>
很多企業(yè)通常鼓勵召開這種類型的會議。當(dāng)團(tuán)隊成員想讓首席信息安全官提出想法時,他們需要愿意傾聽,無論他們的職位和頭銜如何。如果他們提出了一些很好的想法,通常會仔細(xì)考慮,如果員工提出令人信服的想法,可能會跟進(jìn)。建立這種信任可以讓首席信息安全官將這些想法提交給企業(yè)董事會,甚至讓員工闡述自己的想法。
收集和匯總信息
當(dāng)有機(jī)會與高管交談時,通常沒有太多時間討論細(xì)節(jié)。坦率地說,無論如何,這不是企業(yè)高管想要的結(jié)果。以與企業(yè)領(lǐng)導(dǎo)者產(chǎn)生共鳴的方式來進(jìn)行網(wǎng)絡(luò)安全對話非常重要。
信息傳遞從了解企業(yè)高管和董事會的優(yōu)先級開始。在通常情況下,他們對全局性的計劃感興趣,所以需要解釋網(wǎng)絡(luò)投資對這些計劃的成功至關(guān)重要的原因。例如,如果首席執(zhí)行官希望在下一年將總收入增加5%,需要向他們解釋如何通過安全投資來防止網(wǎng)絡(luò)攻擊造成不必要的重大損失。
一旦了解了執(zhí)行團(tuán)隊和企業(yè)董事會的目標(biāo),就可以尋找特定的成員,并確定潛在的盟友。企業(yè)的團(tuán)隊最近是否存在工作場所安全漏洞?企業(yè)的領(lǐng)導(dǎo)者是否很難讓其團(tuán)隊了解網(wǎng)絡(luò)釣魚計劃的構(gòu)成?這些興趣和經(jīng)驗可以幫助首席信息安全官解釋安全解決方案。
不要采用技術(shù)術(shù)語進(jìn)行解釋
首席信息安全官通常精通網(wǎng)絡(luò)安全技術(shù),但需要記住的是,并非每個人都像他一樣了解這一主題,而且業(yè)務(wù)領(lǐng)導(dǎo)者可能不會很好地理解技術(shù)術(shù)語。以高度技術(shù)性術(shù)語為主導(dǎo)的對話,不太可能引起并保持企業(yè)管理層或董事會成員的注意。
首席信息安全官是以他們理解的方式向領(lǐng)導(dǎo)層解釋網(wǎng)絡(luò)安全需求的翻譯人員——通過現(xiàn)實生活中的例子和概述風(fēng)險的商業(yè)指標(biāo)。如果說他們可以理解的術(shù)語,企業(yè)主管會更愿意考慮這些建議。
作為首席信息安全官,不僅僅是跟蹤不斷變化的風(fēng)險和跟上技術(shù)進(jìn)步的步伐,還要成為保護(hù)企業(yè)的網(wǎng)絡(luò)安全的倡導(dǎo)者,說服企業(yè)高管投資網(wǎng)絡(luò)安全。有了清晰相關(guān)的信息,首席信息安全官可以成為強大網(wǎng)絡(luò)安全戰(zhàn)略的捍衛(wèi)者。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號