网络安全与业务目标的协同
关键要点
为了使组织实现目标,所有部门必须协同工作,而非孤立作业。根据 Forrester 的报告,97 的组织认为网络安全优先事项与业务结果之间存在不对齐。本篇文章探讨了五个最佳实践,帮助网络安全领导者证明网络安全与业务目标之间的价值和一致性,包括以业务为先、平衡风险、利用公司治理、提高效率和强化领导力。

为了实现组织的目标,各个部门必须共同合作,而不能各自为政。不幸的是,根据 Forrester 的报告,97 的组织认为网络安全优先事项与业务结果之间存在不对齐。这种看法的产生有几个原因:有时安全职能被误解,沟通不畅,或是没有得到适当的管理和维护。这会对组织管理风险、控制成本和保持业务灵活性产生不利影响,因为网络安全控制通常与其他业务职能交错。
那么,网络安全领导者如何才能证明网络安全的商业价值并改善与业务目标的对齐呢?以下是五个值得考虑的最佳实践:
最佳实践描述始终将业务放在首位安全团队的存在是为了服务业务,而不是反过来。从风险容忍转向风险平衡更实用的方法是考虑风险暴露水平与法律法规要求、成本和灵活性之间的平衡。利用公司治理支持价值信息公司治理可以在和平时期监督安全职能,并为安全讨论提供有用的叙述。提高效率以增强价值补充组织发展的速度,确保安全控制的快速适应。加强领导技能以提升安全品牌强大的品牌和文化帮助安全团队定义其身份,并使利益相关者认识到其价值。1 始终将业务放在首位
安全团队的存在是为了服务业务,而非相反。虽然现代的数字化企业不应忽视网络安全的紧迫性,但安全领导者需要帮助商业领导者理解并欣赏网络安全职能能够为组织带来的价值和好处。这需要同理心和从业务角度看待问题的能力,并以他们的术语表达。这还需要建立思维的联盟,有效的利益相关者参与和合作,确保安全控制始终与业务目标互补。
2 从风险容忍转向风险平衡
传统上,董事会或监督委员会决定组织的风险容忍度或风险偏好。安全领导者必须维持这一容忍水平。然而,容忍度往往是主观的,增加了在将这些容忍度应用于当前或计划业务活动时发生冲突的可能性。更实用的方法是考虑在满足业务目标的背景下,风险暴露水平与持续的法律法规要求、成本和灵活性之间的平衡。这要求安全从业者进行广泛的场景规划,帮助业务看到更平衡的风险视角。需要强调的是,所有风险并不都是坏的,风险如果管理得当并与风险拥有者协作,可能会带来商业机会。
3 利用公司治理支持价值信息
多年来,安全团队面临的挑战是仅在发生事件或危机时被认为是有用的。公司治理在和平时代也监督安全职能的活动,因此可以为董事会提供有关整体价值存在何处的有用叙述。在这里,安全领导者的人际关系技巧至关重要。例如,执行董事可以作为支持安全讨论的有力倡导者,将安全活动与业务的使命和目标对齐。虽然安全领导者可能没有直接参与的机会,但倡导者可以帮助在董事会中就网络脆弱性相关主题展开讨论。
4 提高效率以增强价值
安全团队必须与组织发展的速度相匹配,相应地调整安全控制,避免造成浪费和低效。提高安全效率的机会包括:
业务流程再造: 通过摆脱“我们一直是这么做的”的观念,重新思考控制或流程的设计,可以推动组织内实施的安全控制的效率。自动化: 当一个过程被高度重复且低错误率时,考虑