事實(shí)上，使企業(yè)機構暴露在網(wǎng)絡(luò )安全攻擊之下的往往是IT和非IT高管之間的系統性和文化問(wèn)題，而不是技術(shù)能力或資金問(wèn)題。

　　Gartner杰出研究副總裁Paul Proctor表示：“這些問(wèn)題讓首席信息官和首席信息安全官開(kāi)始重新思考如何讓非IT高管優(yōu)先考慮安全事項。”

　　您可以通過(guò)解決企業(yè)機構內部的這些主要失敗原因來(lái)減少網(wǎng)絡(luò )攻擊風(fēng)險。

　　企業(yè)每天都會(huì )做出對其安全就緒性產(chǎn)生負面影響的決策：例如拒絕關(guān)閉服務(wù)器進(jìn)行適當的修補或選擇繼續使用舊的硬件和軟件以節省預算。這些未被報告的決策導致錯誤的安全感并增加事件發(fā)生的可能性和嚴重性。

　　行動(dòng)：將系統性風(fēng)險的識別、報告和討論作為日常安全治理的一部分。

　　非IT高管仍然認為安全像空氣或水一樣“理應存在”。也就是說(shuō)，安全沒(méi)有被視為業(yè)務(wù)決策的一部分。例如，一個(gè)要求開(kāi)發(fā)新應用的企業(yè)領(lǐng)導人不可能將“安全就緒性”作為一項要求。

　　行動(dòng)：將網(wǎng)絡(luò )安全放到業(yè)務(wù)環(huán)境中，使高管們能夠看到他們的決策所帶來(lái)的影響。

　　您無(wú)法“花錢(qián)買(mǎi)出路”——無(wú)論您花多少錢(qián)，都無(wú)法完全保護自己免受網(wǎng)絡(luò )攻擊。試圖阻止每一個(gè)風(fēng)險活動(dòng)很可能會(huì )損害企業(yè)機構的運作能力。

　　行動(dòng)：避免在安全方面過(guò)度投資，否則會(huì )提高運營(yíng)成本，同時(shí)損害企業(yè)機構實(shí)現業(yè)務(wù)成果的能力。

　　如果安全官被視為（并擔任）企業(yè)機構的保護者，那么就會(huì )產(chǎn)生一種“拒絕”文化。例如他們可能會(huì )因為安全問(wèn)題而阻止一個(gè)關(guān)鍵應用的發(fā)布，而不考慮該應用所支持的業(yè)務(wù)成果。

　　行動(dòng)：將安全官的職能定位成平衡保護需求和業(yè)務(wù)經(jīng)營(yíng)需求。

　　問(wèn)責制度應使接受風(fēng)險的決策能夠保護關(guān)鍵的利益相關(guān)者。如果問(wèn)責制度意味著(zhù)一旦出了問(wèn)題，有人就會(huì )被解雇，那么就沒(méi)有人會(huì )參與。

　　行動(dòng)：獎勵能夠在保護需求和業(yè)務(wù)經(jīng)營(yíng)需求之間實(shí)現最佳平衡的人員。

　　企業(yè)機構所創(chuàng )建的通用高級別風(fēng)險偏好聲明不支持良好的決策。應避免承諾只從事低風(fēng)險的活動(dòng)，否則可能造成無(wú)形的系統性風(fēng)險。

　　行動(dòng)：創(chuàng )建允許在規定參數內接受風(fēng)險的機制。

　　當發(fā)生成為新聞焦點(diǎn)的安全事件時(shí)，社會(huì )只想看到“替罪羊”。雖然這并不公平，但這是幾十年來(lái)把安全問(wèn)題當作一個(gè)“黑匣子”的結果。沒(méi)有人了解它的真正運作方式，因此當事件發(fā)生時(shí)，人們就會(huì )認為一定是有人犯了錯。

　　但除非企業(yè)機構和IT部門(mén)開(kāi)始以不同的方式對待和談?wù)摪踩珕?wèn)題，否則社會(huì )就不會(huì )改變。

　　行動(dòng)：呼吁平衡保護需求和業(yè)務(wù)經(jīng)營(yíng)需求，而不是找人作替罪羊。

　　一些董事會(huì )和高管人員根本不愿意聽(tīng)到或承認安全并不完善。董事會(huì )展示中充滿(mǎn)著(zhù)關(guān)于安全方面已取得進(jìn)展的好消息，卻很少或幾乎不會(huì )討論差距和改進(jìn)機會(huì )。據我們所知，有一家公司甚至決定將安全問(wèn)題移交給法律顧問(wèn)，這樣就能對討論的內容進(jìn)行保密。

　　行動(dòng)：為了應對這些挑戰，IT和非IT高管必須愿意了解和討論安全工作的現狀和局限性。

　　更 多 資 訊 敬 請 訪(fǎng) 問(wèn) Gartner 中 文 官 網(wǎng)!www.gartner.com/cn