人們很容易迷失在網絡安全的技術世界中——信息技術業(yè)務依賴于大量的縮寫詞、技術用語和特定功能的術語。在應對網絡和數據安全風險狀況時，外行希望聽到很多有關技術驅動的解決方案的信息。事實上，我們花費了大量時間來審查、評估和選擇特定的解決方案以納入整體安全框架。

依賴這些解決方案而不解決人為因素的首席信息安全官錯過了任何網絡合規(guī)計劃中最重要的要素。只是為了說明另一個對顯而易見的深刻理解——人類/員工負責執(zhí)行業(yè)務職能，最終，網絡合規(guī)計劃必須納入強大的以人為本的控制。

這聽起來像是很多胡言亂語。讓我試著把這件事歸結起來。人類必須設計和實施以網絡為中心的控制措施。人們必須就這些控制措施進行溝通，以確保每個人都遵守特定的協(xié)議。網絡安全專業(yè)人員表現(xiàn)出強大的人際交往能力，盡管他們在高技術領域工作。

網絡安全合規(guī)計劃的成功取決于人。安全能力和功能融入人的“因素”的程度越高，成功的機會就越大。最終，人員推動安全成功和長期績效。 

安全系統(tǒng)的設計必須通過教育員工了解安全控制、識別潛在異常、對潛在威脅做出適當響應以及根據現(xiàn)有控制進行操作來提高員工績效。安全控制在紙面上可能看起來不錯，但它們在現(xiàn)實世界中的實施和遵循方式決定了安全風險管理計劃的整體功效。

員工不僅要了解安全意識，還要了解安全意識。事實上，他們需要了解安全控制、控制背后的目的以及實施和遵循此類控制的方式。CISO 應始終檢查過去的網絡安全事件，以尋找根本原因、控制效力和員工行為。 

網絡安全領導者往往專注于技術解決方案，而沒有適當考慮人的因素——作為第一步，首席信息安全官需要管理技術和人才，以最大限度地提高能力——技術和人際交往能力。一個關鍵來源可能是內部技術團隊，可以從中識別有才能的個人來開展職業(yè)發(fā)展計劃。

隨著網絡安全和技術在組織內的重要性日益增強，越來越多的員工將在各自工作中履行技術職能。網絡安全必須圍繞公司的運作方式構建——這意味著網絡安全控制必須根據組織的工作流程和人員組織進行定制。

通過這種集成方法，CISO 可以開發(fā)有效的評估實踐，以持續(xù)了解其面臨的威脅。這是公司進行有效安全投資的關鍵要求。在這一領域，CISO 必須使用網絡安全驗證來檢查如何使用技術、流程和工具來驗證潛在黑客如何利用特定威脅。通過整合強大的驗證協(xié)議，CISO 可以實施可重復的評估、制定基準并通過適當的安全控制進行響應。大多數公司正在轉向網絡安全平臺，就像其他風險管理工具一樣，以鞏固網絡安全功能，例如治理、特權訪問和其他訪問管理功能。

任何網絡安全合規(guī)計劃的一個關鍵組成部分是董事會的參與和監(jiān)督。很多時候，公司董事會未能參與和了解網絡安全，而是在很大程度上服從 CISO。通過避免學習曲線，董事會因董事會監(jiān)督和監(jiān)控失敗而產生額外風險，從而使公司面臨風險。越來越多的董事會正在聘請具有網絡安全專業(yè)知識的董事會成員。這是一個值得歡迎的發(fā)展。