作者：juniu网络   来源:互联网    发布时间:2022-03-13

许多业务领导人仍然认为，只要他们投入足够的资金，聘请合适的人员使用正确的技术知识来避免成为头条新闻，他们就可以解决网络安全问题。

事实上，IT和非IT高管之间的系统性和文化问题往往暴露在网络安全攻击下，而不是技术能力或资金问题。

Gartner杰出研究副总裁PaulProctor说:这些问题让首席信息官和首席信息安全官重新思考如何让非IT高管优先考虑安全。

通过解决企业内部这些主要失败原因，可以降低网络攻击的风险。

1.企业每天都会做出对其安全就绪性产生负面影响的决定：例如，拒绝关闭服务器进行适当的维修或选择继续使用旧硬件和软件来节省预算。这些未报告的决定导致了错误的安全感，并增加了事件的可能性和严重性。

行动：将系统性风险的识别、报告和讨论作为日常安全管理的一部分。2.文化脱节。

2.非IT高管仍然认为安全应该像空气或水一样存在。换句话说，安全并不被视为业务决策的一部分。例如，要求开发新应用程序的企业领导人不能将安全就绪作为要求。

行动:将网络安全放在业务环境中，让高管看到自己决策的影响。

3.花钱买出路。

你不能花钱买出路——无论你花多少钱，你都不能完全保护自己免受网络攻击。试图阻止每一项风险活动都可能损害企业和机构的运营能力。

行动:避免过度投资安全，否则会增加运营成本，损害企事业单位实现业务成果的能力。

4.将安全官视为保护者

如果安全官员被视为（并担任）企业机构的保护者，就会产生拒绝文化。例如，他们可能会因为安全问题而阻止关键应用程序的发布，而不考虑应用程序支持的业务结果。

行动：将安全官员的职能定位为平衡保护需求和业务运营需求。

5.问责制度不完善。

问责制度应使接受风险的决策能够保护关键利益相关者。如果问责制度意味着一旦出现问题，有人会被解雇，那么没有人会参与。

行动：奖励能够在保护需求和业务运营需求之间实现最佳平衡的人员。

6.不良风险偏好声明。

企业机构创建的一般高级风险偏好声明不支持良好的决策。应避免承诺只从事低风险活动，否则可能造成无形的系统性风险。行动：创建允许在规定参数内接受风险的机制。

7.不切实际的社会期望。

当安全事件成为新闻焦点时，社会只想看到替罪羊。虽然这是不公平的，但这是安全问题几十年来被视为黑匣子的结果。没有人知道它的真正运作模式，所以当事件发生时，人们会认为一定有人犯了错误。

但除非企业机构和IT部门开始以不同的方式对待和讨论安全问题，否则社会不会改变。行动：呼吁平衡保护需求和业务运营需求，而不是找人作为替罪羊。

8.缺乏透明度。

一些董事会和高管根本不愿意听到或承认安全不完善。董事会的展览充满了关于安全进展的好消息，但很少或几乎没有讨论差距和改进机会。据我们所知，一家公司甚至决定将安全问题移交给法律顾问，以便对讨论的内容保密。

行动：为了应对这些挑战，IT和非IT高管必须愿意了解和讨论安全工作的现状和局限性。