编者按:这一由两部分组成的系列文章的第一篇文章是关于网络安全防范。读第二部分。”是什么让一个好的CISO ?”
网络攻击越来越普遍,而且他们对各行业公司构成重大威胁。越来越大的压力来自股东和监管者以及采用数字和云计算技术的增长,保护敏感数据和操作系统已成为组织的首要任务。但是我们的工作与众多客户发现了一个令人担忧的趋势:许多组织缺乏专业知识和资源来有效地解决网络安全,尽管认识到这个问题的紧迫性。
然而,不作为已不再是一个选项。预计到2024年,网络攻击每一个行业的业务成本5万亿美元在全球范围内,有深远的影响,包括影响公司的财务和声誉损失,其客户和整个生态系统。
在每一个领导人的思想现在的问题是,准备最好的方法是什么?企业应该聘请一位首席信息安全官(CISO),或者将组织董事会的顾问?根据我们的工作,我们有几个建议组织导航的最佳选择:
每个业务上下文需要不同的网络安全策略。考虑到面临威胁的类型和他们的临界水平也很关键的决策过程。不同类型的威胁可能包括生产设施、高价值的IP(下一代技术,特别是如果与通信或武器),基础设施(例如,能源或分布),ransomware目标(几乎任何人),和剥削的机会(金融机构、敏感客户信息)。
开放探索混合模型可以避免失误。什么层次的完善您的组织需要在CISO或顾问吗?公司威胁较低水平(有离开吗?)或有限的资源可能需要依赖外部供应商和顾问在早期阶段的网络安全的旅程,而不是雇佣CISO立即。
例如,您的安全操作中心(SOC),没有人会了解你的业务,以及你做什么,所以至少在SOC内部可能是理想的一部分。不过,您可以依靠外部提供者的大部分你的需要,也使快速的团队和资源在需要时升级。需要考虑的另一个方面是组织结构。CIO多次CISOs报告,技术团队的通力合作是至关重要的;在其他情况下,尤其是关键,这将是一个c级角色本身。
一旦你定义你所需要的功能,这将是更容易定义所需的结构,团队规模和信息安全官的资历。不幸的是,有越来越多的压力补偿;寻找经验丰富的高管们已经在一个公司在一段时间内,可能有机会提高他们的薪酬市场水平可能是一个明智的策略。此外,确保你正在开发技术团队,让他们培训、网络事件和赋予他们生长在他们的角色。最后,它永远不会过早定义一个继任计划。
加强网络安全不是一个轻松的旅程,它可以充满焦虑。记住,没有公司是完全准备好了。成功的关键是把它看成一个网络安全的旅程,并不断地发展你的能力。
了解更多关于亿康先达的网络安全工作。
