37 views

证明网络安全对构建网络安全文化的价值

By | 2019年1月14日

如果您希望高级管理人员购买网络安全,您需要证明网络安全对核心业务的价值。阅读贵组织的年度报告,公司治理文件,股东陈述等。这些文档将使您更好地了解驱动组织的因素,以及您的高管们正在考虑的内容。

你可能会发现网络安全出现在这些文件中,而不是特定的攻击,零日和APT。你会看到关于物质伤害的措辞。您可能会看到有关维护有效的网络安全控制,保护机密性和隐私以及保护敏感数据的必要性的风险声明。

新的ISACA和CMMI研究所对网络安全文化的研究充满了关注强大网络安全文化价值的关注观点和统计数据,例如减少的网络事件,更强的客户信任和更好的品牌声誉。这项研究让我思考如何真正创建网络安全文化,以及网络安全团队需要在其组织内证明什么才能获得网络安全文化所需的支持和资源。

在该研究中,27%的受访者表示“缺乏高级管理人员的支持或理解”是阻碍强大的网络安全文化的主要因素之一。

获得这种支持可能需要证明正在进行的网络安全投资正在以可衡量,定量和以证据为基础的方式解决这些首要问题。通过清楚地说明什么是有效的,什么不是以及需要做些什么才能用证据来解决它,你表现出领导力,你不仅要了解业务风险,而且要知道如何有效地衡量和沟通这些风险,所以业务决策 – 制造商可以采取行动。如果您想要他们的支持,请向他们提供他们需要理解和行动的证据。

29%的受访者表示“缺乏资金”是阻碍强大网络安全文化的主要因素之一。

现在我们正在超越理论上的买入。在某些时候,你实际上需要资金来实现变革。第三方审计师,董事会审计委员会等与财务团队密切合作。花在网络安全上的每一块钱都花在了核心业务上。因此,审计,财务和网络安全团队的工作之一就是确保在网络安全上花费的资金足以有效地提供价值。

如前所述,这些小组正在寻找证据证明现有的网络安全工具正在增加足够的价值,以降低可接受的网络风险水平。简而言之,他们希望证明进入网络安全的资金实际上是产生价值,并且所要求的任何额外资金对于充分保护是真正必要的。

如果你想要钱,能够验证你所拥有的网络安全效率。展示领导证明。清楚地概述差距在哪里,然后您可以创建一个商业案例以获得更大的投资来弥补这些差距。现在,考虑到您的所有证据,以及来自销售,财务和运营等业务部门的所有其他非网络安全业务需求证据,可以做出业务决策,以确定资金的最佳使用。

43%的受访者表示,“为安全而大声疾呼”的执行冠军是赋予网络安全文化权力的主要因素。

这种支持网络安全的推动者应该是在前两部分提供所需证据的副产品。作为商业领袖,如果我因为所提供的证据而相信你在做什么,并且我愿意投资美元,因为你的措施是经验性的,可理解的和引人注目的,那么我更有可能在整个过程中支持你的网络安全事业。组织。

高管们需要适当的保护。远远超出适当的和浪费,而浪费的高管不是长期的高管。通过为高管提供证据来支持您的网络安全事业,您可以获得与审计委员会和风险委员会合作的盟友。专注于阐明网络安全的价值以及您已经证实的变更的必要性,以确保保护组织的敏感资产和数据。

我探索的两个抑制因素和推动因素有一些共同之处:它们直接受到网络安全团队之外的决策者的影响。这些决策者可能包括审计师,首席财务官,首席执行官,董事会和其他商业领袖。企业领导者评估生活风险 – 网络风险只是风险的一种风格。当他们围绕网络安全做出决策时,例如在哪里投资,投资多少以及如何确定优先顺序,商业领袖希望获得证据,就像他们对其他类型的风险一样。他们不希望将这些决定建立在有关网络安全有效性的最佳猜测上。企业领导者需要基于证据的指标和可量化的数据。他们在投入时间和组织资源之前需要进行定量证明,无论定性论证有多强。

网络安全团队有责任为商业领袖提供必要的证据,以便做出影响网络安全文化的决策。从高管的支持和资金到拥护者代表网络安全发言,如果没有证据表明网络安全带来的价值以及美元花在网络安全工具和资源上的有效性,商业领袖就不会参与其中。

证明网络安全有效性,以获得创建网络安全文化所需的资源。通过证明网络安全的有效性,网络安全成为企业的战略,并将反过来有利于核心业务,如减少网络事件,建立更强的客户信任和维护品牌声誉。

发表评论

电子邮件地址不会被公开。 必填项已用*标注