谁应该掌控您的网络安全策略?

 
确保网络安全弹性是现代组织在当今世界必须解决的最繁重的任务之一，这已不是什么秘密。它也可以说是最重要的：随着诸如GDPR项下的灾难性罚款之类的安全违规行为被发布，企业不再将网络安全视为事后的想法。
不幸的是，即使企业认为他们正在采取所有必要的步骤来保护自己和所存放的数据，有时仍不足以将坏人拒之门外。根据英国政府最新的网络安全违规调查，过去12个月中，有32%的企业遭受了数据泄露或网络攻击，尽管这一数字比往年有所下降，这表明必须更加重视安全性。
如果人们的数据和罚款的威胁不够充分，那么安全事件的成本也在上升。 2017年受网络事件影响的企业平均支出2,450，而两年后，这一数字上升到4,180。
英国数据泄露与财务影响
因此，风险很高，而且压力也很大，但是在何时设计强大的网络安全策略时该找谁的问题在企业中有时是无法解决的。该任务可能会落入组织中众多人员的职权范围，CTO，CSO，CISO，CEO和IT团队可能被视为首要任务，并且确定应该成为谁是很重要的。
无论是检查您现有的策略是否是临时的，还是要第一次实施，这都是向谁求助的方法。
责任问题
您必须先确定领导层和运营职责以及董事会的角色，然后才能开始制定网络安全策略。网络威胁不再只是“ IT问题”，Enterprise Strategy Group最近进行的一项调查显示，40%的高管和董事希望针对与端到端业务流程相关的网络风险定期提供安全状态报告。
责任图将在一定程度上取决于组织的性质，包括组织的规模，是单站点还是多站点，以及其技术设置的性质。仅说首席技术官(CTO)领导实施和首席执行官承担领导责任还不够。现实更加微妙。
如果有首席信息安全官(CISO)，他们应该带头。阿尔斯特大学(Ulster University)网络安全教授，IEEE专业机构的高级成员Kevin Curran对此很强调，他对IT Pro说道：“这就是为什么要聘用他们。当然，了解业务需求至关重要，以及组织的技术需求，但他们应该是具备必要知识的人员，以识别风险领域并将资源用于这些领域。”
但是，并非每个组织都有CISO，因此在这种情况下，定义一个填补空白的角色将很重要。这很可能是IT团队的领导，或者，如果有单独的数据安全团队，则可能是它的领导。重要的是，此人必须足够高，以拥有真正的权力来做出决策，执行决策并能够在董事会中以平庸的态度发表讲话。
分担负载
无论技术领导团队位于何处，确保从组织其他部门的支持到至关重要。行业机构techUK的计划网络负责人Talal Rajab说，其他需要参与的团队包括“内部和外部沟通的沟通团队以及其他高级领导人员。”
在最佳情况下，每个部门负责人和每个董事级别的职位持有人都应在某种程度上参与进来。当然，他们不会全都有技术技能。他们的角色将集中于保持适用于其团队的政策和流程，提高意识并确保买入。
如果组织选择分担网络安全战略的责任，那么制定一套牢不可破的沟通战略也很重要，以确保相关人员对事件有充分的了解，并确保可以在最坏的情况下采取行动。
以马士基(Maersk)经常被引用的例子为例，该公司在2017年被残酷的NotPetya蠕虫像大锤一样用牙签狠狠地砸了一下，之后又沦为创造性的传播策略。这是最坏的情况，但即使是最小的企业也应注意这一点。在无法选择正常的通信渠道的情况下，请实施故障保护策略，以便参与组织网络安全的每个人都可以发出和接收命令，以确保在发生网络攻击后迅速恢复系统。
董事会的作用
网络安全漏洞并非始于IT系统，而是源于领导者的态度和优先事项。
有了网络安全策略，领导层必须从高层开始，也就是说董事会。正如拉贾布(Rajab)所说：“将网络安全交给IT部门的日子已经一去不复返了。为了引发有意义的长期变更，需要将其视为企业风险，因此，要求董事会控制局势。”
确保董事会完全了解威胁级别对于最初获得构建和实施有效策略所需的资源也至关重要。为了自己，必须让领导意识到，并证明攻击对企业造成了影响。
Rajab补充说：“董事会的所有成员都应该对网络安全进行自我教育，因为他们最终将承担责任。所有成员都需要要求定期更新公司的网络状况，同意进行投资并确保流程到位。所有这些都留给一个董事会成员，就有可能遗漏或忽略问题的危险。这是关于建立全公司文化的。”
对于将报告提交给董事会的CISO，IT和安全专业人员，这将有助于专注于网络安全漏洞和攻击所代表的风险，而不是冗长的技术细节。使网络安全风险与整体业务战略和关键资产保持一致是一个不错的起点，因为了解最重要的保护内容将使发现覆盖范围的差距变得更加容易。
准备出发
但是仅将所有权分配给董事会和IT团队还不够。一线员工是最有可能遇到网络攻击(无论以何种形式出现)的一线员工，因为低级人员的数量超过了C级人员。
领导层和IT团队确实负责制定和部署策略，但是普通员工也必须为做出贡献感到自在。必须收集有关他们每天遇到的威胁类型的反馈，并且可以制定适合自己的策略。
对于不敬业的员工，请展示其威胁级别和影响，并提供激励性的安全意识培训。
清楚说明实施和领导职责，应该可以在整个组织内实施强有力的网络安全策略。这样一来，它就不会被IT团队视为“对”和“组织”所做的事情，而是“为组织所支持，与之配合并由其完成的事情”。这种方法将帮助它从一开始就获得言行上的支持。
如果可以肯定的是网络安全战略，那就是如果没有整个组织的支持，就无法成功阻止不断发展的攻击。