Gartner指引:四大误区大揭秘,打造高效安全管理体系

这篇具有很好参考价值的文章主要介绍了Gartner指引:四大误区大揭秘,打造高效安全管理体系。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

安全管理体系是一个复杂的生态系统,定义了企业的关键信息、安全原则、资源和活动(见图1)。企业机构所构建和运行的安全体系往往难以既对员工实用,又能有效管理快速发展的数字风险。因此,首席信息官(CIO)必须了解并避免陷入误区,构建强韧的安全体系,应对中国数字业务面临的网络安全挑战。CIO及其安全团队在构建切实可行的安全体系时,容易陷入四个常见误区。这些误区包括:

  • 设定不切实际的目标,希望抵御所有攻击

  • 安全策略引发摩擦的同时并未有效降低风险

  • 高层汇报沟通时,传递过多未与业务挂钩的安全技术运营层面的信息

  • 采用传统的中心化方法来支持分布式风险决策,这种方法在应对敏捷数字项目时无法有效扩展

Gartner指引:四大误区大揭秘,打造高效安全管理体系,企业管理,安全运营,网络安全,信息安全管理体系,安全策略,风险评估,Gartner,风险模型,安全运营,团队建设

图1  安全管理体系的组成

误区1:设定不切实际的目标,希望抵御所有攻击

在当今的数字化环境和威胁环境中,企业机构要设定一个旨在遏制所有攻击的安全目标是既不现实,也不合适的。目前不存在完美的防护机制,在多边的业务和风险环境中,企业机构应在防护措施与业务运营需求之间取得平衡。这种平衡需要与业务领导者进行讨论和决定,而不是由IT部门单独决定(见图2)。

Gartner指引:四大误区大揭秘,打造高效安全管理体系,企业管理,安全运营,网络安全,信息安全管理体系,安全策略,风险评估,Gartner,风险模型,安全运营,团队建设

图2 安全是一种选择:何为适度风险?

当高管询问“我们能否达到百分之百安全”时,CIO及其安全团队应将谈话引向对风险的讨论。投入大量资金来预防对业务影响较小的安全事件,并不符合成本效益。企业机构应明确可能影响业务战略目标和绩效实现的安全风险,并定义风险控制衡量指标。在业务目标、影响业务成功的安全风险和跟踪指标之间建立明确联系,这一点至关重要。

误区2:安全策略引发摩擦但并未降低安全风险

安全策略的根本目的是通过识别、评估和控制风险,鼓励促进安全的行为,阻止不利行为。尽管如此,员工可能发现安全团队独立制定的一些策略难以遵守,对其角色而言并不合理,并且与其工作目标相冲突。因此,员工会选择忽略这些策略,继续采取不安全的行为。

2022年Gartner安全行为驱动因素调研发现,过去12个月中有69%的员工有意绕过企业机构的网络安全策略。此外,74%的受访者表示,如果有助于个人或团队实现业务目标(例如,再即将到来的截止日期前完成任务和/或完成营收目标),则会选择绕开网络安全策略。这种对安全策略的漠视产生的原因往往是由于安全因素引发的摩擦阻碍了员工高效开展工作。

为了避免陷入这一误区,企业应使用基于场景的方法进行测试,确保策略切实可行。再工作人员面对的许多实际场景中测试安全策略,并确定该策略是否为这些场景提供支持或造成妨碍。同时,可以考虑开发用户手册,使用通俗易懂的业务语言,而非专业术语来解释所有这些常见场景的安全要求。最后,发现、理解并解决员工所经历的摩擦。

误区3:传递的信息无法引起利益相关者的共鸣

安全治理是指确保采取合理、适当的行动,以最有效、 最高效的方式保护企业机构的信息资源,以实现其业务目标的流程和能力。由于CEO越来越重视安全事件和违规行为导致的业务损失,媒体的相关报道也越来越多,很多中国大型企业机构已经设立了企业级的安全委员会作为治理机构。

尽管委员会是由来自整个企业的业务和职能部门的高管组成,但安全议程和相关主题的沟通仍主要以合规为导向或以IT为中心。这就无法有效展示安全投资对于业务成果的价值和相关性,无法引起CEO和业务高管的更多共鸣。

为避免这一误区,CIO及安全团队应该阐述与业务成果相关的安全风险,不仅限于合规,这将更好地引起CEO和委员会业务成员的共鸣。同时,了解沟通背景,选择合适的价值沟通方式。

误区4:采用的中心化风险决策方法无法支持敏捷数字项目

由于业务部门更多地雇佣自己的数字化技术人员,而不是完全依赖企业的IT人员,企业机构的安全和风险决策日益分散。此外,在中国竞争激烈的数字化环境中,企业机构越来越多地采用敏捷或DevOps的全新IT方法,加速数字业务的交付。这反过来也增加了快速做出风险决策的压力。企业机构如果仍依赖传统的单一中心化安全团队来开展风险决策工作,将很难招聘到足够的安全人才,以应对企业机构内部快速增加的分布式风险决策的数量以及决策速度的要求。此外,分散决策的机会成本很快会超过其增加的价值。

为避免陷入这一误区,CIO应培养企业所有员工的网络判断力,满足敏捷数字项目风险决策的数量和速度要求,这将大大减少整个企业机构的网络风险暴露。此外,由于网络判断力并不要求安全人员全程参与以做出风险决策,节省下来的安全人力资源可以重新分配,用于更具影响力的网络安全活动中。文章来源地址https://www.toymoban.com/news/detail-836931.html

到了这里,关于Gartner指引:四大误区大揭秘,打造高效安全管理体系的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 智慧浪潮下的产业园区:解读智慧化转型如何打造高效、绿色、安全的新产业高地

    随着信息技术的飞速发展,智慧化转型已经成为产业园区发展的重要趋势。在智慧浪潮的推动下,产业园区通过集成应用物联网、大数据、云计算、人工智能等先进技术手段,实现园区的智慧化、高效化、绿色化和安全化,从而打造成为新产业高地。本文将深入探讨智慧化转

    2024年04月23日
    浏览(36)
  • 揭秘矿机报价背后四大因素,你一定想不到

    《揭秘矿机报价背后四大因素,你一定想不到!》 矿机作为加密货币挖掘的核心工具,其报价受到技术创新速度的直接影响。随着区块链技术的发展,矿机的算力竞赛愈发激烈,这导致矿机更新换代的速度不断加快。新款矿机的发布往往会带来算力的飞跃,从而使得旧款矿机

    2024年04月13日
    浏览(40)
  • 无线网络不稳定?四大杀手逐一排除 揭秘无线网络隐秘风险

    在安装了一个无线网络之后,有时你可能会发现这个网络对用户应用的支持并不如你想像的那样好。用户们有可能会抱怨连接不稳定和性能差劲,这样便会妨碍应用程序的使用。此时,作为管理员的你就需要进行故障诊断。首先要找到问题的根本原因。 下面的表格可能会给你

    2024年02月06日
    浏览(50)
  • CCAA道路交通安全管理体系审核员确认准则

    前 言 中国认证认可协会(CCAA)是经国家认证认可监督管理委员会授权,依法从事认证人员注册的机构,开展管理体系审核员、产品认证检查员、服务认证审查员等注册工作。CCAA 是国际人员认证协会(IPC)的全权成员。 本准则依据《中华人民共和国认证认可条例》制定,遵

    2024年04月14日
    浏览(35)
  • ISO22000—食品安全管理体系认证

    很多企业对ISO还不了解,以下对ISO做了介绍,包括适用企业、认证目标、认证好处等信息,供参考。 ISO食品安全管理体系,ISO就是食品安全管理体系标准之一 。随着经济全球化的发展、社会文明程度的提高,人们越来越关注食品的安全问题;要求生产、操作和供应食品的组织

    2024年02月15日
    浏览(43)
  • 零信任身份管理平台,构建下一代网络安全体系

    随着数字化时代的到来,网络安全已成为企业和组织面临的一项重要挑战。传统的网络安全方法已经无法满足不断演变的威胁和技术环境。近期,中国信息通信研究院(简称“中国信通院”)发布了《零信任发展研究报告( 2023 年)》。在报告指出,云计算、大数据等新一代

    2024年02月07日
    浏览(41)
  • 筑牢数据隐私安全底线,ADSCOPE通过ISO隐私信息管理体系认证!

    数字时代,信息安全尤其是数据隐私信息保护已经成为社会共识。 近日,ADSCOPE(上海倍孜网络技术有限公司)已通过相关组织机构评审,符合ISO/IEC 27701:2019标准,获得隐私信息管理体系认证证书 ,标志着ADSCOPE在信息安全及数据隐私保护能力方面达到了国际标准。 ISO/IEC

    2024年02月10日
    浏览(31)
  • Gartner发布安全运营指南:迈向卓越安全运营的 5 项举措

    顶级组织通常会实施一套通用的安全运营活动,以实现成熟,但是,他们在应对快速发展的威胁方面仍然面临挑战。安全和风险管理领导者可以利用这五项举措来加强他们的网络防御工作,同时促进安全投资的更大回报。 主要发现 旨在提升威胁检测成果的安全运营(SecOps )

    2024年04月10日
    浏览(50)
  • Gartner DSG数据安全治理 架构及解读

    目录 背景: 架构图:  解释: 英文解释:(自上而下) 平衡业务与风险、威胁、合规之间的关系(5个维度之间的平衡) 优先处理数据集 制定安全策略 实施安全工具 策略配置同步 在Gartner2017 安全与风险管理峰会上,分析师Marc-Antoine Meunier发表《2017年数据安全态势》演讲,

    2023年04月09日
    浏览(43)
  • Gartner发布降低软件供应链安全风险指南

    软件供应链攻击已呈三位数增长,但很少有组织采取措施评估这些复杂攻击的风险。这项研究提供了安全和风险管理领导者可以用来检测和预防攻击并保护其组织的三种实践。 主要发现 尽管软件供应链攻击急剧增加,但安全评估并未作为供应商风险管理或采购活动的一部分

    2024年02月04日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包