谁对企业安全工作有最大推动力?

简介:

企业安全的大环境

根据企业或组织的不同规模,对企业信息安全的发展最具影响力的人物一般都是C级高管(CEO、CTO、CFO或COO等等)或董事会成员。不过在很多规模较小的组织中,负责信息安全保护任务的很可能会是非管理层的人员,而且有时这个重任甚至全部都压在了某一位IT员工的身上。

无论负责企业安全管理工作的人是谁,任何一个企业或组织不仅要将信息安全方面必要的投入成本加入预算之中,而且还要让“信息安全”成为企业文化的一部分。

信息安全公司Rapid7的副总裁Josh Feinblum认为:

“企业或组织之所以会认真考虑信息安全问题,主要有两个原因。其一,这个组织有一个极具前瞻力的领导团队,他们认为信息安全非常重要。其二,这个公司曾经发生过严重的安全事件。”

在大多数情况下,无论你职位有多高资历有多深,你的影响力永远无法与一次严重的安全事件相提并论。但是随着时间的推移,很多企业高管现在也希望这种情况能够得到改变。除了公司内部对信息安全的要求之外,公司其他的合作方也会要求他们在安全检测和灾难应急响应上面下功夫,所以现在的情况也许并没有我们想象中的那么糟糕。

驱动企业安全发展的因素

实际上,让企业的信息安全不断发展的驱动力往往来自于外部,而非企业的内部,尤其是在企业面临并购或合作的时候。因为很多时候对方公司都会说:“如果你们能够在接下来的半年内解决安全问题的话,我们就可以继续合作下去。”

ISSA高级成员兼ISACA董事会成员Darrell Drystek表示:

“引起安全问题的根本原因是企业管理上的失败。这是一个企业管理方面的问题,而不是一个技术问题。”

在一个组织中,只有当领导层真正认为对企业影响最大的因素是信息安全时,我们才有可能朝着安全的方向继续前行。如果他们认为信息安全并不重要,那么他们就不会把安全放在优先考虑的位置,那么作为安全团队的我们也将会举步维艰。

为了驱动企业的信息安全发展,公司里必须有一个能够代表“信息安全”发出强有力声音的人。这个人既可以是公司的首席信息安全官(CISO),也可以是一名高级安全专家,但他必须是一个务实的人。

对于某些小型企业而言,信息安全则是一个不小的挑战。Tycoon的首席技术官TravisRosiek表示:

“对于小型企业的高管而言,他们的工作就是如何有效地消减预算开支。这些小型组织的人手不够,可用预算也非常少。那么在资源有限的情况下,他们必须保证企业能够给用户提供正常的服务,公司的网络系统能够正常运转。只有在完成这些任务之后,他们才会去考虑安全方面的问题。不过小型组织在某些方面也是有优势的,在小型企业中,信息技术部门和安全团队之间的联系是非常紧密的。当某些安全危机或可疑事件发生时,他们可以立刻展开密切的合作来解决问题。现在越来越多的公司也开始意识到,任何人都有可能是黑客的攻击目标。不过,仍然有很多组织依旧天真地认为他们不会遭到黑客的攻击。”

安全对于企业的重要性不言而喻

怎样才算一个成熟的企业呢?当一个企业拥有一位有远见的CISO或CIO时,这个企业才有可能进步,才有可能变得更加成熟。Rosiek认为:“从一个成熟的角度来看,当公司中的CISO可以直接向CIO报告工作情况,并且董事会愿意花时间去听他们做报告时,这个组织的信息安全才会进步,而这类组织绝对是将安全放在优先位置的。”

换句话来说,如果这名CISO在企业内等级很低且在安全方面没有任何远见的话,那么他们在申请预算的时候可能就会遇到很大的麻烦了。正因如此,如果企业真的想在信息安全方面得到发展和进步的话,必须要让企业负责安全的人直接与高层决策者沟通。

无论你是财富五百强企业(由《财富》杂志评选),或是一家中等或小型规模的公司,你都需要让企业的决策者去决定如何处理当前存在的安全问题。但是安全团队必须要明确地指出当前存在的安全问题以及有可能会面临的安全风险,而是否采取行动则取决于企业的决策者,因为他们才是安全风险的直接承担者。

Vectra Networks的首席执行官Hitesh Sheth在接受采访时表示:

“在很多规模较大的企业中,首席信息安全官(CISO)既要负责安全策略的制定,又要负责向上级申请预算。在财富五十强企业中我们经常会看到,CISO往往需要参与多项工作,而且这些企业的董事会同样也会加入进来,因为“信息安全”已经成为了董事会经常需要讨论的话题。随着更多的利益相关者参与进来,企业安全团队的预算空间也就会更大,这会迫使每一个人站在更高的角度去思考安全问题。”

大家都需要安全感,但又有多少人会真正地去思考安全问题呢?Drystek表示:“我们作为信息安全行业的一员,我们有责任也有义务让用户通过最简单的方法去保护信息的安全,我们要培养他们对安全的敏感程度,我们要让他们知道数据真正的价值所在。”

我们要让企业的决策者明白,这些安全风险将会直接影响到企业的效益,只有部署复杂的安全保护程序才可以为企业的发展铺平道路。实际上,除了CISO和CIO之外,影响企业安全进步的最大因素就是管理层对安全的观念和理解。

本文转自d1net(转载)

目录
相关文章
|
3月前
|
存储 安全 网络安全
云端盾牌:云计算时代的网络安全守护在数字化浪潮中,云计算以其高效、灵活的特性成为企业转型的加速器。然而,伴随其迅猛发展,网络安全问题亦如影随形,成为悬在每个组织头顶的达摩克利斯之剑。本文旨在探讨云计算服务中的网络安全挑战,分析信息安全的重要性,并提出相应对策,以期为企业构建一道坚实的云端防护网。
在当今这个数据驱动的时代,云计算已成为推动创新与效率的关键力量。它允许用户随时随地访问强大的计算资源,降低了企业的运营成本,加速了产品上市时间。但随之而来的网络威胁也日益猖獗,尤其是对于依赖云服务的企业而言,数据泄露、身份盗用等安全事件频发,不仅造成经济损失,更严重损害品牌信誉。本文深入剖析云计算环境中的安全风险,强调建立健全的信息安全管理机制的重要性,并分享一系列有效策略,旨在帮助企业和个人用户在享受云服务带来的便利的同时,也能构筑起强有力的网络防线。
|
3月前
|
供应链 安全 网络安全
探索云计算环境下的网络安全新策略
在信息技术飞速发展的今天,云计算已成为推动企业创新和效率提升的关键力量。然而,随着云服务的普及,网络安全和信息安全问题也日益凸显,成为制约云计算发展的重要瓶颈。本文深入探讨了云计算环境中的网络安全挑战,分析了当前主流的云服务安全技术,包括数据加密、访问控制、身份验证等,并提出了一系列创新性的网络安全管理策略。通过对比传统网络安全措施与云计算环境下的安全需求,本文旨在为企业和个人用户提供一套全面而实用的云计算安全防护指南,以应对日益复杂的网络威胁,确保信息资产的安全与完整。
|
8月前
|
监控 安全 网络安全
云计算环境下的网络安全新策略与实践
在数字化时代,云计算为企业提供了弹性、可扩展的资源管理平台,但同时也带来了复杂的安全挑战。本文聚焦于云服务中的网络安全和信息保护问题,首先分析了云计算环境中存在的安全威胁和风险因素,然后详细探讨了当前最新的安全技术和策略,包括身份认证、数据加密、入侵检测系统以及安全运营中心(SOC)等。最后,文章提出了一套综合的安全框架,旨在帮助组织在享受云计算便利的同时,确保其数据和资源的安全性和完整性。
|
8月前
|
存储 安全 网络安全
构筑安全堡垒:云计算环境中的网络安全与信息保护策略
【2月更文挑战第30天】 在数字化浪潮推动下,云计算以其弹性、可扩展和按需付费的特性成为企业IT架构的核心。然而,随之而来的是日益复杂的安全威胁,它们不断试探和突破云环境的边界防御。本文深入探讨了云计算服务模型中的固有安全挑战,并提出了综合性的网络安全防护措施和信息保护策略。通过对加密技术、身份认证机制、入侵检测系统以及合规性监管等关键技术的详细分析,我们构建了一个多层次、全方位的安全框架,旨在为云计算环境提供坚固的安全保障。
|
存储 运维 负载均衡
网络运维主要做什么,日常工作有哪些?
网络运维主要做什么,日常工作有哪些?
974 0
|
存储 安全 机器人
安全团队为远程工作快速发展做好准备了吗?
快速过渡到远程工作会给企业的安全团队带来压力,也迫使他们需要了解和应对一系列潜在的安全风险。
125 0
|
安全 云安全 数据安全/隐私保护
《2019年上半年云上企业安全指南》详解安全建设最易忽视的问题!
基于对2019年上半年云上企业安全建设现状及面临的安全风险的分析,我们给出响应的安全自检项目和安全建议,希望助力企业建设更高水位的安全体系。
4942 0