IT资讯

停止争论,立即行动:网络安全需要明确领导权

字号+作者:创站实验室来源:IT资讯2025-11-26 20:05:42我要评论(0)

你是否曾听到过有人在公司里认真地问:“谁负责法律事务?”或“谁制定财务战略?”可能没有——因为答案应该是显而易见的。然而,当涉及到网络安全时,领导权的问题似乎仍然引发无休止的争论。这种情况在20世纪9

你是停止争论否曾听到过有人在公司里认真地问 :“谁负责法律事务?”或“谁制定财务战略 ?”可能没有——因为答案应该是显而易见的。然而 ,立即当涉及到网络安全时,行动需明领导权的网络问题似乎仍然引发无休止的争论 。

这种情况在20世纪90年代或许还能理解 ,安全当时像首席信息安全官(CISO)这样的确领关键安全角色仍在摸索阶段。但时至今日 ,导权这无疑是停止争论一个严重的警示信号。

安全早已不再是源码下载立即小众的技术问题 ,而是行动需明一项基本的业务职能 。因此 ,网络看到一些组织仍然将其视为新概念或事后补救措施,安全将其夹在IT和合规之间,确领没有明确的导权领导或方向 ,这实在令人沮丧。停止争论

面对日益猖獗和组织化的威胁行为者  ,争论的时间已经结束。网络安全需要一位拥有领导权力的免费模板明确定义的领导者  。否则,注定会失败 。

谁应负责网络安全 ?

将十几位不同的业务领导者聚集在一个房间里 ,询问谁负责他们的安全,你可能会得到同样多的答案 。CISO似乎是最明显的选择,但CIO 、IT主管或其他类似角色也可能是答案。亿华云

实际的头衔并不重要。重要的是他们是公司中最有资格的人。在大多数情况下,这个人应该是CISO,但许多公司——尤其是小型组织——并没有这个职位。

在这种情况下,安全的责任必须向上级转移 。必须明确由某个人——COO、服务器租用CFO甚至CEO负责。“我们没有专门的安全领导者”这样的借口是站不住脚的  。许多公司完全可以在没有CFO的情况下制定财务战略,因此他们毫无疑问可以在没有CISO的情况下制定安全战略。

但真正的问题不仅是找到合适的人,而是确保他们拥有权威、高防服务器资源和全业务范围的支持 ,以有效执行任务 。即使是最精明的CISO  ,如果没有支持,也只是一个傀儡,而由委员会负责的安全策略注定是一场灾难。

除非网络安全领导者被赋予与法律或财务战略同等的权威和责任 ,否则他们将继续让自己暴露在风险之中。内部的建站模板不确定性是网络犯罪分子梦寐以求的脆弱目标。

为什么安全不能孤立运作  ?

多年来 ,我们一直在争论网络安全是一个业务问题 ,而不是IT问题 。然而,安全仍然经常被当作一个孤立的功能,被放任在真空中运作。这是一个严重的错误 。如果安全领导者没有在决策桌上占有一席之地,他们就无法真正影响更广泛的业务战略 。

保障公司安全是一项团队努力。正如CFO不会单独“负责”财务成功一样 ,CISO(或任何负责安全的人)也不应该独自战斗 。

尽管应该有一个明确定义的安全领导者 ,但高管层必须共同承担责任,确保安全嵌入到组织的每一个方面。

安全策略必须是自上而下的  ,而不是自下而上的。如果领导层不推动它,再多的技术控制也无法拯救企业 。安全政策——无论是强制执行多因素认证(MFA)还是设置数据治理规则——不应该被视为IT指令。它们是业务决策 ,必须被如此对待 。

治理是强大安全战略的支柱

将网络安全作为团队努力的一部分 ,很大程度上有赖于适当的治理支持。然而 ,网络安全往往被视为一种模糊的愿望 ,而不是一种结构化、可问责的功能 。没有治理的策略不过是一张愿望清单。

没有明确的治理,安全工作很容易变得被动  、脱节,并容易被董事会上声音最大的人否决 。

治理确保网络安全是一项可执行的业务优先事项 ,而不是一项勾选框的练习 。这意味着制定明确的政策,定义风险容忍度,最重要的是 ,确保安全决策基于实际的业务需求 ,而不是内部政治  。

此外,治理不仅仅是自上而下的指令  。它是一条双向通道 :董事会设定方向 ,但来自安全团队和运营人员的反馈会对其进行优化 。仅存在于纸面上而没有业务现实输入的治理框架,与完全没有治理一样危险 。

要使网络安全与更广泛的业务目标保持一致,主要利益相关者需要保持定期沟通 。具体频率取决于公司的规模和结构 ,因此每个企业都需要找到一个平衡点 。重大投资和变更应通过变更咨询委员会(CAB)流程,以确保一切都被考虑到 。

外包 :解决方案还是捷径 ?

值得注意的是 ,对于许多企业来说,安全并不是内部处理的,而是一项外包功能 。这通常是资源有限的小公司的选择 ,缺乏资源来招聘和留住专门的网络安全负责人 ,但大公司也可能如此。

在我的职业生涯中,我曾经历过双方的角色 ,既担任过顾问,也管理过外部供应商。

一个重要的教训是 ,如果企业只是简单地将任务抛给一群顾问 ,并说 :“为我们制定一个网络安全策略” ,这是行不通的。没有适当的输入和方向  ,结果可能并不适合你的公司 。

多年前,我曾在一家公司工作 ,我们将业务连续性规划外包给一家大型供应商。他们制定了一份详尽 、精美的200页计划……但这完全不适合我们的业务 。我们重写了它,最终将其精简为15页 ,紧密贴合我们的需求。

另一方面,作为顾问 ,我曾帮助创建了一些优秀的框架,公司负责大部分工作——我只是提供一个框架,并提出正确的问题,引导他们以正确的方式思考。

我还强烈建议 ,如果你不愿意保持参与,那就不要外包 。安全不是一次性交付的持续监督和问责无法完全外包。

少谈多做

没有企业会期望在没有明确的法律或财务领导的情况下取得成功 ,那么为什么安全要有所不同呢 ?关于网络安全领导权的无休止争论需要停止。

确定负责人,赋予他们领导的权力 ,并确保他们拥有全业务的支持 ,以做好保障组织安全所需的事情。

停止争论  ,开始决策 ,赋予网络安全应有的领导地位。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 在遭遇勒索软件攻击后是支付赎金还是不支付赎金?

    在遭遇勒索软件攻击后是支付赎金还是不支付赎金?

    2025-11-26 19:46

  • 怎么看手机是不是鸿蒙系统

    怎么看手机是不是鸿蒙系统

    2025-11-26 18:44

  • 骁龙821刷Win10教程(轻松将骁龙821打造为一台功能强大的Windows10设备)

    骁龙821刷Win10教程(轻松将骁龙821打造为一台功能强大的Windows10设备)

    2025-11-26 18:25

  • 联想一体机B4040的功能和性能测评(一探联想一体机B4040的实用性与用户体验)

    联想一体机B4040的功能和性能测评(一探联想一体机B4040的实用性与用户体验)

    2025-11-26 18:23

网友点评
精彩导读
增粉利器?实则是窃取登录凭据的恶意软件

增粉利器?实则是窃取登录凭据的恶意软件

Excel表格相同数据用相同颜色填充的方法

Excel表格相同数据用相同颜色填充的方法

Kiwy安全座椅(性设计,舒适安全第一)

Kiwy安全座椅(性设计,舒适安全第一)

磁盘扫描程序(使用磁盘扫描程序对C盘进行扫描修复的方法与技巧)

磁盘扫描程序(使用磁盘扫描程序对C盘进行扫描修复的方法与技巧)

2024年物理安全行业重要的十大发展趋势

2024年物理安全行业重要的十大发展趋势

热门资讯
Copyright ©2025 停止争论,立即行动:网络安全需要明确领导权 版权所有,创站实验室  滇ICP备2023006006号-21
关于我们寻求报道投稿须知商务合作版权申明sitemap