面对日益复杂的网络攻击,企业网络安全不能再被视为后台工作,而应该是参与公司的业务模式、数字战略、产品布局、并购等重大的战略决策,让安全潜入到企业的环节。传统上将安全部门置于IT部门的组织架构,不利于安全部门发挥影响力。安全主管需要影响业务战略、技术决策和企业风险管理的能力,而非综合网络安全能力。

对于现在的企业,网络风险无处不在。企业为保护系统和客户安全做了大量投资,但在推动网络安全成为公司战略、运营和文化的富有活力、积极要素的过程充满艰难。

根本原因来自两个方面的:(1)网络安全被视为后台工作;(2)大多数网络安全领导人无法发挥战略影响力。鉴于网络领导者的平均任期不够长(美国是18个月),很明显需要进行一些改变。在过去,企业曾期望CISO(首席安全官)和安全负责人专注于技术任务——并没有期望更多。网络安全主管需要确保企业业务安全这一极其重要目标,但是在公司进行重大的战略决策时,例如商业模式、数字战略、产品布局、并购等,网络安全就成为事后考虑的问题。这意味着企业没能利用好网络安全主管的价值。(这与许多CMO陷入困境的情况没什么不同。)

过去网络安全的威胁风险程度较低、攻击相对不太复杂,这种管理方式是可以接受的,但现在已不再可行。现在的网络安全主管必须能在企业整个运营过程中嵌入安全、对安全威胁快速响应并影响到企业高层。简而言之,他们必须能够发挥领导作用。这意味着企业需要聘用和培养有能力的安全主管。现在是时候让董事会和企业高管重新设定网络安全的定位、以及对安全主管的期望。作者基于美国智库新美国基金会开展的研究,加上多年的咨询经验,提出了企业领袖要在网络安全上实现成功必须推行的框架。

一、设定网络安全战略的目标

您寻找什么结果?每个企业都面临不同的独特风险,因此没有一种万能的方法。但所有企业在制定其战略时,应考虑采用一些主要选项:业务连续性、品牌保护、合规和利润增长。企业的环境将决定最终选择。您需要考虑合规压力、风险暴露以及客户价值等因素。例如,一家电力公司可能会优先考虑业务连续性,确保在成本压力较大的市场中获得最高的服务正常运行时间;物联网制造商则可能会专注于增长,押注网络安全的差异化能力,证明溢价的合理性。

企业领导者必须彻底搞清“为什么”推进网络安全,并清楚自己的选择。所选择的战略目标将落到运营活动上,从而推动实现业务成果。企业的网络安全战略目标不能随心所欲,也不能漫无目标——这样风险太大。

二、创新定位网络安全职能,发挥关键影响力

从这个意义上说,“定位”包括安全部门的组织架构定位、权限和激励。多数企业很容易将网络安全放在IT部门(在CIO之下),但IT运营和安全由同一个人领导,并且预算相同,会造成很多问题。

在确定网络安全部门的组织架构位置前,需要先明确希望其具有的影响力。企业在庞大的生态系统中运作,数字基础设施和数据并不是规整的,网络安全需要根据特定要素进行定制。例如,如果研发、制造和客户需要特别高的网络安全支持,就需要让网络安全部门的定位能够发挥横向影响力。给网络主管和项目赋予适当的权限至关重要,他们必须具有政治的控制权和高层职责,以协调企业内部的各种变化。

最后,由于网络安全无法在真空中运行,企业领袖需要激励合适的利益相关者与该职能密切合作。例如,在供应链管理部门中,您可能希望网络安全“检查”成为评估潜在业务合作伙伴的一部分。我曾经合作的一家全球制药企业,通过为每个业务部门量身定制网络安全KPI,激发“更好”的行为,通过创造健康的同伴压力,鼓励高管与网络安全部门合作,并对这样做的部门负责人进行奖励。

三、找到合适的网络安全主管

显然,“聘请谁”对关键的网络安全主管职位很重要,因此剖析目标人选的特征非常有必要。董事会和企业高管在考虑和评估网络安全主管时,应优先考虑人选的思维模式而非技能。如果我们看一下成功网络安全主管需要具备的特征,思维模式比较突出,例如拥有广阔的世界观、了解神经科学如何改善领导力、热心成就他人,以及对学习充满渴望。

这种思维模式与综合安全技能形成鲜明对比。综合技能是迄今为止网络安全社区的最高关注点。尽管企业确实需要关键的网络技能,例如网络安全、威胁情报和安全响应,但这些不应成为衡量网络安全主管的标准。当然,网络安全主管必须认可这些技术能力,而由其他人来掌握这些技术。安全主管的能力需要有所不同:能够影响企业的业务战略、技术决策和企业风险管理。

为了实现这一目标,安全主管必须在整个业务生态系统中建立紧密的关系,同时组建、发展和授权团队。他们必须将抽象的技术概念转化为能够在逻辑和情感上吸引企业高管的信息,并激发他们做出贡献。这意味着,正如领导数字化转型的最佳人选并不一定是数字专家一样,最好的安全网络主管可能是位经验丰富的非网络安全领域的高管,他了解企业业务,在整个企业拥有重要关系,并赏识相关的网络安全技术。要找到这种人,并确保其在企业中长期发挥强大影响力。

基于新美国基金会和我咨询工作的实践,这一框架可以帮助企业降低业务风险,减少与监管机构的摩擦,为技术和安全设置标准,从而提高企业竞争优势。要实现切实的进展,就需要企业领导者采取自上而下的实质性举措,否则网络安全仍将是毫无影响力的后台工作,因为惯性实在太大。

现在,我们已经超越了打地鼠式解决漏洞的安全防护阶段。网络安全职能可以,而且应该成为推动企业成功的基本要素。但要做到这一点,企业领袖需要在公司的所有环节推动嵌入网络安全,并培养合适的安全主管,使安全职能更受重视。

作者:Matthew Doan 知名智库新美国基金会研究员

声明:本文来自首席安全官,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。