安全管理體系是一個(gè)復(fù)雜的生態(tài)系統(tǒng)，定義了企業(yè)的關(guān)鍵信息、安全原則、資源和活動(dòng)（見(jiàn)圖1）。企業(yè)機(jī)構(gòu)所構(gòu)建和運(yùn)行的安全體系往往難以既對(duì)員工實(shí)用，又能有效管理快速發(fā)展的數(shù)字風(fēng)險(xiǎn)。因此，首席信息官（CIO）必須了解并避免陷入誤區(qū)，構(gòu)建強(qiáng)韌的安全體系，應(yīng)對(duì)中國(guó)數(shù)字業(yè)務(wù)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)。CIO及其安全團(tuán)隊(duì)在構(gòu)建切實(shí)可行的安全體系時(shí)，容易陷入四個(gè)常見(jiàn)誤區(qū)。

這些誤區(qū)包括：

• 設(shè)定不切實(shí)際的目標(biāo)，希望抵御所有攻擊
• 安全策略引發(fā)摩擦的同時(shí)并未有效降低風(fēng)險(xiǎn)
• 高層匯報(bào)溝通時(shí)，傳遞過(guò)多未與業(yè)務(wù)掛鉤的安全技術(shù)運(yùn)營(yíng)層面的信息
• 采用傳統(tǒng)的中心化方法來(lái)支持分布式風(fēng)險(xiǎn)決策，這種方法在應(yīng)對(duì)敏捷數(shù)字項(xiàng)目時(shí)無(wú)法有效擴(kuò)展

圖1：安全管理體系的組成

誤區(qū)1：設(shè)定不切實(shí)際的目標(biāo)，希望抵御所有攻擊

在當(dāng)今的數(shù)字化環(huán)境和威脅環(huán)境中，企業(yè)機(jī)構(gòu)要設(shè)定一個(gè)旨在遏制所有攻擊的安全目標(biāo)是既不現(xiàn)實(shí)，也不合適的。目前不存在完美的防護(hù)機(jī)制，在多變的業(yè)務(wù)和風(fēng)險(xiǎn)環(huán)境中，企業(yè)機(jī)構(gòu)應(yīng)在防護(hù)措施與業(yè)務(wù)運(yùn)營(yíng)需求之間取得平衡。這種平衡需要與業(yè)務(wù)領(lǐng)導(dǎo)者進(jìn)行討論和決定，而不是由IT部門單獨(dú)決定（見(jiàn)圖2）。

圖2：安全是一種選擇：何為適度風(fēng)險(xiǎn)？

當(dāng)高管詢問(wèn)“我們能否達(dá)到百分之百安全”時(shí)，CIO及其安全團(tuán)隊(duì)?wèi)?yīng)將談話引向?qū)︼L(fēng)險(xiǎn)的討論。投入大量資金來(lái)預(yù)防對(duì)業(yè)務(wù)影響較小的安全事件，并不符合成本效益。企業(yè)機(jī)構(gòu)應(yīng)明確可能影響業(yè)務(wù)戰(zhàn)略目標(biāo)和績(jī)效實(shí)現(xiàn)的安全風(fēng)險(xiǎn)，并定義風(fēng)險(xiǎn)控制衡量指標(biāo)。在業(yè)務(wù)目標(biāo)、影響業(yè)務(wù)成功的安全風(fēng)險(xiǎn)和跟蹤指標(biāo)之間建立明確聯(lián)系，這一點(diǎn)至關(guān)重要。

誤區(qū)2：安全策略引發(fā)摩擦但并未降低安全風(fēng)險(xiǎn)

安全策略的根本目的是通過(guò)識(shí)別、評(píng)估和控制風(fēng)險(xiǎn)，鼓勵(lì)促進(jìn)安全的行為，阻止不利行為。盡管如此，員工可能發(fā)現(xiàn)安全團(tuán)隊(duì)獨(dú)立制定的一些策略難以遵守，對(duì)其角色而言并不合理，并且與其工作目標(biāo)相沖突。因此，員工會(huì)選擇忽略這些策略，繼續(xù)采取不安全的行為。

2022年Gartner安全行為驅(qū)動(dòng)因素調(diào)研發(fā)現(xiàn)，過(guò)去12個(gè)月中有69%的員工有意繞過(guò)企業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)安全策略。此外，74%的受訪者表示，如果有助于個(gè)人或團(tuán)隊(duì)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)（例如，在即將到來(lái)的截止日期前完成任務(wù)和/或完成營(yíng)收目標(biāo)），則會(huì)選擇繞開(kāi)網(wǎng)絡(luò)安全策略。這種對(duì)安全策略的漠視產(chǎn)生的原因往往是由于安全因素引發(fā)的摩擦阻礙了員工高效開(kāi)展工作。

為了避免陷入這一誤區(qū)，企業(yè)應(yīng)使用基于場(chǎng)景的方法進(jìn)行測(cè)試，確保策略切實(shí)可行。在工作人員面對(duì)的許多實(shí)際場(chǎng)景中測(cè)試安全策略，并確定該策略是否為這些場(chǎng)景提供支持或造成妨礙。同時(shí)，可以考慮開(kāi)發(fā)用戶手冊(cè)，使用通俗易懂的業(yè)務(wù)語(yǔ)言，而非專業(yè)術(shù)語(yǔ)來(lái)解釋所有這些常見(jiàn)場(chǎng)景的安全要求。最后，發(fā)現(xiàn)、理解并解決員工所經(jīng)歷的摩擦。

誤區(qū)3：傳遞的信息無(wú)法引起利益相關(guān)者的共鳴

安全治理是指確保采取合理、適當(dāng)?shù)男袆?dòng)，以最有效、最高效的方式保護(hù)企業(yè)機(jī)構(gòu)的信息資源，以實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的流程和能力。由于CEO越來(lái)越重視安全事件和違規(guī)行為導(dǎo)致的業(yè)務(wù)損失，媒體的相關(guān)報(bào)道也越來(lái)越多，很多中國(guó)大型企業(yè)機(jī)構(gòu)已經(jīng)設(shè)立了企業(yè)級(jí)的安全委員會(huì)作為治理機(jī)構(gòu)。

盡管委員會(huì)是由來(lái)自整個(gè)企業(yè)的業(yè)務(wù)和職能部門的高管組成，但安全議程和相關(guān)主題的溝通仍主要以合規(guī)為導(dǎo)向或以IT為中心。這就無(wú)法有效展示安全投資對(duì)于業(yè)務(wù)成果的價(jià)值和相關(guān)性，無(wú)法引起CEO和業(yè)務(wù)高管的更多共鳴。

為避免這一誤區(qū)，CIO及安全團(tuán)隊(duì)?wèi)?yīng)該闡述與業(yè)務(wù)成果相關(guān)的安全風(fēng)險(xiǎn)，不僅限于合規(guī)，這將更好地引起CEO和委員會(huì)業(yè)務(wù)成員的共鳴。同時(shí)，了解溝通背景，選擇合適的價(jià)值溝通方式。

誤區(qū)4：采用的中心化風(fēng)險(xiǎn)決策方法無(wú)法支持敏捷數(shù)字項(xiàng)目

由于業(yè)務(wù)部門更多地雇傭自己的數(shù)字化技術(shù)人員，而不是完全依賴企業(yè)的IT人員，企業(yè)機(jī)構(gòu)的安全和風(fēng)險(xiǎn)決策日益分散。此外，在中國(guó)競(jìng)爭(zhēng)激烈的數(shù)字化環(huán)境中，企業(yè)機(jī)構(gòu)越來(lái)越多地采用敏捷或DevOps的全新IT方法，加速數(shù)字業(yè)務(wù)的交付。這反過(guò)來(lái)也增加了快速做出風(fēng)險(xiǎn)決策的壓力。企業(yè)機(jī)構(gòu)如果仍依賴傳統(tǒng)的單一中心化安全團(tuán)隊(duì)來(lái)開(kāi)展風(fēng)險(xiǎn)決策工作，將很難招聘到足夠的安全人才，以應(yīng)對(duì)企業(yè)機(jī)構(gòu)內(nèi)部快速增加的分布式風(fēng)險(xiǎn)決策的數(shù)量以及決策速度的要求。此外，分散決策的機(jī)會(huì)成本很快會(huì)超過(guò)其增加的價(jià)值。

為避免陷入這一誤區(qū)，CIO應(yīng)培養(yǎng)企業(yè)所有員工的網(wǎng)絡(luò)判斷力，滿足敏捷數(shù)字項(xiàng)目風(fēng)險(xiǎn)決策的數(shù)量和速度要求，這將大大減少整個(gè)企業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露。此外，由于網(wǎng)絡(luò)判斷力并不要求安全人員全程參與以做出風(fēng)險(xiǎn)決策，節(jié)省下來(lái)的安全人力資源可以重新分配，用于更具影響力的網(wǎng)絡(luò)安全活動(dòng)中。