最近CEO們收到了鼓勵(lì)他們思考信息與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的信息和報(bào)告。

[[259223]]

然而并非所有人都了解應(yīng)該如何面對(duì)這些風(fēng)險(xiǎn)，以及其對(duì)組織機(jī)構(gòu)的影響。在當(dāng)今的全球商業(yè)環(huán)境中，CEO以及董事會(huì)的成員們需要全面的了解正在發(fā)生的事情，以及為什么需要正確理解和應(yīng)對(duì)潛在風(fēng)險(xiǎn)。如果沒有深入的理解，風(fēng)險(xiǎn)分析和由此制定的決策可能會(huì)存在缺陷，導(dǎo)致組織機(jī)構(gòu)承擔(dān)超出預(yù)期的風(fēng)險(xiǎn)。

在評(píng)估了當(dāng)前的威脅形勢以后，CEO 們應(yīng)特別關(guān)注4個(gè)主要的信息安全領(lǐng)域，并且要在日常運(yùn)營中熟悉這些領(lǐng)域。

一、風(fēng)險(xiǎn)管理

網(wǎng)絡(luò)空間日漸成為吸引犯罪分子，激進(jìn)分子和恐怖分子的狩獵場所。他們想要賺錢，獲得關(guān)注，制造混亂。在過去幾年里，我們看到網(wǎng)絡(luò)犯罪分子們開展了更高程度的合作，以及更高水平的技術(shù)能力，使得許多大型組織機(jī)構(gòu)措手不及。

CEO必須做好面對(duì)不可預(yù)測的事情的準(zhǔn)備，這樣他們才有能力承受意外的，高影響力事件。網(wǎng)絡(luò)犯罪和一些網(wǎng)絡(luò)活動(dòng)(黑客主義)的增加，合規(guī)成本的增加，以及在安全部門投資不足的背景下，黑客技術(shù)還在不斷進(jìn)步，都將為企業(yè)帶來重重危機(jī)。能夠明確關(guān)鍵業(yè)務(wù)的組織機(jī)構(gòu)才能夠更好的量化業(yè)務(wù)案例，投資抵御項(xiàng)目，從而盡可能地減少不可預(yù)測事件帶來的影響。

二、避免企業(yè)信譽(yù)受損

黑客變得更有組織性，手段也變得越來越復(fù)雜，所有的威脅都變得更加危險(xiǎn)，這一切都為企業(yè)信譽(yù)帶來了更多風(fēng)險(xiǎn)。此外，在供應(yīng)商、客戶和合作伙伴中的品牌信譽(yù)和動(dòng)態(tài)信任，愈發(fā)成為網(wǎng)絡(luò)犯罪分子和激進(jìn)黑客的目標(biāo)。面對(duì)瞬息萬變的威脅形勢，我們常?？吹狡髽I(yè)落后，有時(shí)候在信譽(yù)和資產(chǎn)損失以后才醒悟。

CEO們需要確保他們已經(jīng)做好充分準(zhǔn)備，面對(duì)不斷出現(xiàn)的挑戰(zhàn)，讓他們的組織機(jī)構(gòu)更好地應(yīng)對(duì)企業(yè)信譽(yù)威脅。這似乎顯而易見，但是你對(duì)這些企業(yè)信譽(yù)威脅的反應(yīng)越快，你得到的結(jié)果就會(huì)越好。

三、保護(hù)供應(yīng)鏈安全

在尋找那些可能造成信息安全漏洞的關(guān)鍵領(lǐng)域時(shí)，要關(guān)注供應(yīng)鏈。供應(yīng)鏈?zhǔn)钱?dāng)今全球經(jīng)濟(jì)的支柱，企業(yè)也越來越關(guān)注如何管理主要供應(yīng)鏈中斷問題。所以CEO們應(yīng)該關(guān)注其供應(yīng)鏈暴露于多重風(fēng)險(xiǎn)的程度。企業(yè)必須將注意力放在其供應(yīng)鏈最薄弱的部分。在當(dāng)今復(fù)雜的全球市場環(huán)境下，不幸的是并不是所有的網(wǎng)絡(luò)威脅都能夠提前進(jìn)行預(yù)防。

積極主動(dòng)意味著你和你的供應(yīng)商能夠在事情發(fā)生時(shí)做出更快，更明智的響應(yīng)。在一些極端情況下，這種準(zhǔn)備和彈性可能對(duì)競爭力，財(cái)務(wù)狀況，股價(jià)甚至企業(yè)的生存起到?jīng)Q定性作用。

四、員工意識(shí)和內(nèi)在行為

組織機(jī)構(gòu)在持續(xù)加大對(duì) “開發(fā)人力資本” 的投資。如果沒有陳述其企業(yè)價(jià)值，任何CEO的演講或者年度報(bào)告都不能說的上完整。這背后隱含的意思是員工意識(shí)和安全意識(shí)培訓(xùn)總能帶來無需證明的價(jià)值——員工滿意度已經(jīng)可以了?，F(xiàn)在已經(jīng)不是這樣了。今天的CEO們經(jīng)常要求對(duì)他們需要進(jìn)行選擇的項(xiàng)目進(jìn)行投資回報(bào)預(yù)測，而有關(guān)員工意識(shí)和培訓(xùn)的項(xiàng)目也不例外。評(píng)估和展示這些培訓(xùn)的價(jià)值成為企業(yè)的當(dāng)務(wù)之急。然而現(xiàn)在沒有固定的流程和方法能夠證明培訓(xùn)給員工帶來了信息安全行為上的變化，因?yàn)榻M織機(jī)構(gòu)的人員結(jié)構(gòu)，以往的經(jīng)驗(yàn)，成就和目標(biāo)千差萬別。

很多組織機(jī)構(gòu)在開展符合 “提高安全意識(shí)” 這一主旨的活動(dòng)，但是真正的商業(yè)驅(qū)動(dòng)力應(yīng)該來自風(fēng)險(xiǎn)以及如何通過新的行為減少這些風(fēng)險(xiǎn)。

現(xiàn)在正是時(shí)候，將重點(diǎn)從提高安全意識(shí)轉(zhuǎn)向?qū)嶋H行動(dòng)中。CEO對(duì)網(wǎng)絡(luò)更加精通，監(jiān)管機(jī)構(gòu)和利益相關(guān)者在不斷推動(dòng)進(jìn)行更有力的監(jiān)管，尤其是在風(fēng)險(xiǎn)管理領(lǐng)域。行為層面上的改變，能夠幫助CISO在面對(duì)CEO和其他高級(jí)管理人員提出相關(guān)問題時(shí)，提供滿意的答案。

領(lǐng)先于可能出現(xiàn)的安全困境：

各種形態(tài)和規(guī)模的組織機(jī)構(gòu)都在日益網(wǎng)絡(luò)化的世界中運(yùn)轉(zhuǎn)，傳統(tǒng)的風(fēng)險(xiǎn)管理模式不夠靈活，已經(jīng)不足以抵御來自網(wǎng)絡(luò)活動(dòng)的風(fēng)險(xiǎn)。企業(yè)必須優(yōu)化風(fēng)險(xiǎn)管理來創(chuàng)建風(fēng)險(xiǎn)彈性，建立在準(zhǔn)備的基礎(chǔ)上，從業(yè)務(wù)可接受性和風(fēng)險(xiǎn)分析的角度評(píng)估威脅因素。

面對(duì)不斷升級(jí)的安全威脅和瞬息萬變的威脅形勢，組織機(jī)構(gòu)有不同的控制方案，但是我常?？吹狡髽I(yè)落后，有時(shí)候在信譽(yù)和資產(chǎn)損失以后才醒悟。CEO們需要帶領(lǐng)大家，評(píng)估當(dāng)前狀況，確保自己所在的組織機(jī)構(gòu)已經(jīng)準(zhǔn)備好應(yīng)對(duì)這些不斷出現(xiàn)的挑戰(zhàn)。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文