當(dāng)前，每個企業(yè)都意識到了日益嚴(yán)重的網(wǎng)絡(luò)攻擊風(fēng)險，然而，很少有公司真正對重要信息采取了足夠的保護(hù)。這里的關(guān)鍵就是，企業(yè)的高層領(lǐng)導(dǎo)需要擔(dān)當(dāng)起網(wǎng)絡(luò)安全防護(hù)的領(lǐng)導(dǎo)角色。最近麥肯錫的專家Tucker Bailey,James Kaplan,和Chris Rezek發(fā)表了一篇關(guān)于企業(yè)高管在網(wǎng)絡(luò)安全中的角色的文章，編譯如下。

[[116883]]

為什么在重要信息資產(chǎn)的保護(hù)方面企業(yè)往往做得不夠?企業(yè)的高管們明白盡管全球每年花在網(wǎng)絡(luò)安全上的投資超過百億美元，目前對網(wǎng)絡(luò)攻擊的防護(hù)依然不夠。他們也知道網(wǎng)絡(luò)攻擊風(fēng)險帶來的對于數(shù)字經(jīng)濟(jì)的可信度及信心打擊所帶來的損失在2000年已經(jīng)超過30億美元。他們也了解絕大多數(shù)企業(yè)采取的以合規(guī)為目的的網(wǎng)絡(luò)安全模式對于網(wǎng)絡(luò)安全的保護(hù)并不夠。他們也很清楚企業(yè)需要對風(fēng)險進(jìn)行深入分析，對于重要資產(chǎn)制定專門的防護(hù)措施，把在整個IT環(huán)境中部署安全措施。分析評估面臨的安全威脅，提高事故反應(yīng)機(jī)制等等。

網(wǎng)絡(luò)安全的重要性我們每個人都清楚，那么企業(yè)高管會問，既然大家都理解，那么為什么很多企業(yè)都不能做到很好的網(wǎng)絡(luò)安全防護(hù)呢?答案很簡單，理解一個問題和有效地解決這個問題有很大的不同。對于企業(yè)來說，要想建立一個有效的，以業(yè)務(wù)為導(dǎo)向，以風(fēng)險管理為中心的網(wǎng)絡(luò)安全管理機(jī)制，需要面臨一系列的組織結(jié)構(gòu)和管理方面的問題。而只有來自企業(yè)高層的持續(xù)有力的支持，才能有最終達(dá)成有效的網(wǎng)絡(luò)安全管理機(jī)制從而降低網(wǎng)絡(luò)安全風(fēng)險。

網(wǎng)絡(luò)安全管理的一些組織結(jié)構(gòu)的障礙

對于大型企業(yè)來說，阻礙一個正確的網(wǎng)絡(luò)安全管理的實(shí)施有一系列的障礙。

首先，市場競爭的環(huán)境逼迫企業(yè)高管必須承受一定程度的網(wǎng)絡(luò)攻擊風(fēng)險。某個投資銀行的首席信息安全官就曾經(jīng)說過：“如果我真的按照我希望的那樣對與我們合作的對沖基金進(jìn)行安全評估的話，我們可能就不會有任何合作機(jī)會了。”因此，為了保證企業(yè)的競爭力，企業(yè)必須在風(fēng)險和客戶期望之間取得平衡。

其次，網(wǎng)絡(luò)安全影響的深度和廣度也阻礙了安全管理戰(zhàn)略的實(shí)施。網(wǎng)絡(luò)安全不僅僅影響到運(yùn)營，也影響到客戶管理，營銷，產(chǎn)品開發(fā)，采購，人事管理，公關(guān)等方方面面。比如說，產(chǎn)品開發(fā)常常會影響到敏感客戶數(shù)據(jù)的獲取。采購決策可能會導(dǎo)致供應(yīng)商對于企業(yè)知識產(chǎn)權(quán)的泄露等等。

第三，網(wǎng)絡(luò)安全的風(fēng)險很難量化，這使得很難就網(wǎng)絡(luò)安全的緊急程度在企業(yè)高管之間進(jìn)行溝通。而促使他們進(jìn)行決定。某個大型企業(yè)的CFO就曾經(jīng)告訴我們：“看起來我們每年在網(wǎng)絡(luò)安全方面的支出都在增加，但是我不知不明白這些支出是否足夠，或者多少支出才算足夠。”

最后，改變用戶行為非常的困難。對于很多企業(yè)來說，最大的安全漏洞往往不是在企業(yè)本身，而是企業(yè)的客戶。你如何能夠防止客戶點(diǎn)擊錯誤的鏈接從而導(dǎo)致感染惡意軟件?你如何能夠阻止他們像釣魚網(wǎng)站提供敏感信息?對企業(yè)第一線員工進(jìn)行安全意識的培養(yǎng)已經(jīng)很困難了，更何況是那些根本不受你控制的客戶。

網(wǎng)絡(luò)安全：高管必須親自領(lǐng)導(dǎo)

網(wǎng)絡(luò)安全是一個CEO層面的問題。網(wǎng)絡(luò)攻擊的風(fēng)險影響到企業(yè)的各個部門，影響到企業(yè)的供應(yīng)鏈以及企業(yè)的客戶。因此，對于網(wǎng)絡(luò)安全方面的決策必須來自CEO和其他企業(yè)高管團(tuán)隊。

最為我們與世界經(jīng)濟(jì)論壇共同就網(wǎng)絡(luò)安全進(jìn)行的研究的一部分，我們有機(jī)會對超過200家企業(yè)(其中60家為財富500強(qiáng)企業(yè))的高管進(jìn)行了訪談，與他們深入探討了網(wǎng)絡(luò)安全風(fēng)險管理方面的具體實(shí)踐。我們發(fā)現(xiàn)，對于成熟的網(wǎng)絡(luò)安全風(fēng)險管理來說，高管的時間與精力的投入是成功與否的關(guān)鍵因素。此外，我們的研究還發(fā)現(xiàn)，高管對于網(wǎng)絡(luò)安全的參與程度有很大的不同。有的公司，首席信息安全官每幾周就會與CEO開會。而有的公司，首席信息安全官與CEO基本沒有接觸，首席信息安全官首先報告給CTO，CTO報告給CIO，CIO再報告給CFO。

那么，企業(yè)高管需要怎么做呢?通過分析那些網(wǎng)絡(luò)安全做的比較好的公司的做法，我們總結(jié)了一下幾點(diǎn)：

◆積極參與到戰(zhàn)略決策中去：

就像對待企業(yè)經(jīng)營中的其他風(fēng)險一樣，CEO以及其他高管團(tuán)隊成員必須對企業(yè)整體的信息安全風(fēng)險承受程度提出要求，比如對于知識產(chǎn)品的泄露，客戶敏感信息的盜取，企業(yè)運(yùn)營的中斷等等。接下來，各部門的領(lǐng)導(dǎo)以及他們的管理團(tuán)隊需要與網(wǎng)絡(luò)安全團(tuán)隊一起合作，列出重要的信息資產(chǎn)以及確定在安全風(fēng)險與企業(yè)運(yùn)營的平衡點(diǎn)。

◆充分考慮跨部門的網(wǎng)絡(luò)安全影響

高管們需要管理中層經(jīng)理們以確保在產(chǎn)品，客戶，人力管理，供應(yīng)鏈管理等環(huán)節(jié)考慮到網(wǎng)絡(luò)安全的影響。此外還需要考慮對網(wǎng)絡(luò)安全的重要性排序可能會帶來的公關(guān)方面的影響。

◆推動使用行為的改變

由于高管接觸的敏感數(shù)據(jù)更多。他們需要自身做出更多的基于網(wǎng)絡(luò)安全考慮的行為改變，進(jìn)而影響其他下級員工。這可以從簡單的做起，比如不轉(zhuǎn)發(fā)可疑附件，不把公司文件轉(zhuǎn)發(fā)到私人郵箱等等。此外，高管應(yīng)該采取合適的方式對一線員工進(jìn)行宣傳，使他們意識到他們應(yīng)該如何保護(hù)重要的企業(yè)信息資產(chǎn)。

◆保證有效的治理結(jié)構(gòu)和報告機(jī)制

無論公司的網(wǎng)絡(luò)安全制度和安全控制如何完善，總會有些人會想辦法繞過它。企業(yè)高管們顯然需要確保規(guī)章制度和安全控制從業(yè)務(wù)角度的合理性。然后就是支持安全管理團(tuán)隊嚴(yán)格執(zhí)行這些規(guī)章制度。此外，企業(yè)高管應(yīng)該確保對企業(yè)在網(wǎng)絡(luò)安全方面的具體推進(jìn)程度建立一個完善的報告機(jī)制。

數(shù)字化越來越普及，技術(shù)環(huán)境越來越開放和互聯(lián)，以及攻擊者的水平越來越高。網(wǎng)絡(luò)安全已經(jīng)日益成為重要的社會和經(jīng)濟(jì)問題。如果不加以重視，它將會大大拖累企業(yè)的技術(shù)和商業(yè)的創(chuàng)新。這也就是為什么企業(yè)必須在網(wǎng)絡(luò)安全方面迅速加強(qiáng)的原因。而要做到這一點(diǎn)，必須得到企業(yè)高管的直接關(guān)注與支持，才能跨越一系列結(jié)構(gòu)上和管理上的障礙。我們已經(jīng)了解到，在一些企業(yè)里，這樣的推動已經(jīng)在開始。但是，這樣的推動還應(yīng)該在一個更廣的范圍內(nèi)，才能使得企業(yè)在保證網(wǎng)絡(luò)安全的同時，依然保持原有的創(chuàng)新和發(fā)展水平。

原文地址：http://www.aqniu.com/security-management/3647.html