将网络安全集成到组织的目标和风险中,如此重要有两个原因。
首先,网络安全会影响组织的各个方面。因此,为了正确管理网络安全,必须被整合到组织风险管理和决策中。例如:
其次,网络安全需要整合才能成功。良好的网络安全不仅仅是拥有良好的技术,而是人们与安全部门建立良好的关系,并在整个组织中建立正确的流程来管理它。
例如,为了防止攻击者访问敏感数据(同时确保只有具有当前有效要求的人才能看到它),您将需要:
在结构中反映注意内容:
网络安全是整个领导层的责任,不要把网络安全留给一个人。
网络安全事件将影响整个组织的重要事件,不仅仅是IT部门的重要事件。例如,可能会影响在线销售,影响合同关系或导致法律或监管行动。领导层内部应有足够的专业知识,以便为网络安全战略提供指导,并将决策追究责任。然而,领导层的每个成员都需要足够的专业知识来了解它如何影响他们的重点领域,并了解对整个组织的广泛影响。
英国境外的网络安全:在尝试了解网络安全对组织的影响和风险时,一个重要的考虑因素是组织在哪个国家/地区运营。对于那些在英国境外运营或在英国境外拥有合作伙伴的组织,CPNI智能业务指南强调了这可能如何影响安全考虑因素,包括网络安全。本工具包的“与供应商和合作伙伴协作”部分提供了有关如何缓解与这些关系相关的网络安全风险的指导。
与专家互动
考虑报告结构是否使领导层能够参与其所需的网络安全。如果CISO向领导层报告的中介机构只关注一个方面,无论是财务还是法律或技术-这可能会阻碍领导层看到网络安全更广泛影响的能力。现在在大多数组织中,CISO直接向领导层报告。
改善组织中网络安全的一个好起点是考虑专家与领导层成员之间的沟通。获得正确的结构可能会有所帮助,但我们也经常看到双方都不愿意参与,因为:
改善这两个群体之间的沟通需要双方的努力: