安全管理體系是一個復(fù)雜的生態(tài)系統(tǒng)，定義了企業(yè)的關(guān)鍵信息、安全原則、資源和活動（見圖1）。企業(yè)機(jī)構(gòu)所構(gòu)建和運(yùn)行的安全體系往往難以既對員工實(shí)用，又能有效管理快速發(fā)展的數(shù)字風(fēng)險。因此，首席信息官（CIO）必須了解并避免陷入誤區(qū)，構(gòu)建強(qiáng)韌的安全體系，應(yīng)對中國數(shù)字業(yè)務(wù)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)。CIO及其安全對團(tuán)在構(gòu)建切實(shí)可行的安全體系時，容易陷入四個常見誤區(qū)。這些誤區(qū)包括：

·       設(shè)定不切實(shí)際的目標(biāo)，希望抵御所有攻擊

·       安全策略引發(fā)摩擦的同時并未有效降低風(fēng)險

·       高層匯報溝通時，傳遞過多未與業(yè)務(wù)掛鉤的安全技術(shù)運(yùn)營層面的信息

·       采用傳統(tǒng)的中心化方法來支持分布式風(fēng)險決策，這種方法在應(yīng)對敏捷數(shù)字項(xiàng)目時無法有效擴(kuò)展

圖1：安全管理體系的組成

誤區(qū)1：設(shè)定不切實(shí)際的目標(biāo)，希望抵御所有攻擊

在當(dāng)今的數(shù)字化環(huán)境和威脅環(huán)境中，企業(yè)機(jī)構(gòu)要設(shè)定一個旨在遏制所有攻擊的安全目標(biāo)是既不現(xiàn)實(shí)，也不合適的。目前不存在完美的防護(hù)機(jī)制，在多邊的業(yè)務(wù)和風(fēng)險環(huán)境中，企業(yè)機(jī)構(gòu)應(yīng)在防護(hù)措施與業(yè)務(wù)運(yùn)營需求之間取得平衡。這種平衡需要與業(yè)務(wù)領(lǐng)導(dǎo)者進(jìn)行討論和決定，而不是由IT部門單獨(dú)決定（見圖2）。

圖2：安全是一種選擇：何為適度風(fēng)險？

當(dāng)高管詢問“我們能否達(dá)到百分之百安全”時，CIO及其安全團(tuán)隊(duì)?wèi)?yīng)將談話引向?qū)︼L(fēng)險的討論。投入大量資金來預(yù)防對業(yè)務(wù)影響較小的安全事件，并不符合成本效益。企業(yè)機(jī)構(gòu)應(yīng)明確可能影響業(yè)務(wù)戰(zhàn)略目標(biāo)和績效實(shí)現(xiàn)的安全風(fēng)險，并定義風(fēng)險控制衡量指標(biāo)。在業(yè)務(wù)目標(biāo)、影響業(yè)務(wù)成功的安全風(fēng)險和跟蹤指標(biāo)之間建立明確聯(lián)系，這一點(diǎn)至關(guān)重要。

誤區(qū)2：安全策略引發(fā)摩擦但并未降低安全風(fēng)險

安全策略的根本目的是通過識別、評估和控制風(fēng)險，鼓勵促進(jìn)安全的行為，阻止不利行為。盡管如此，員工可能發(fā)現(xiàn)安全團(tuán)隊(duì)獨(dú)立制定的一些策略難以遵守，對其角色而言并不合理，并且與其工作目標(biāo)相沖突。因此，員工會選擇忽略這些策略，繼續(xù)采取不安全的行為。

2022年Gartner安全行為驅(qū)動因素調(diào)研發(fā)現(xiàn)，過去12個月中有69%的員工有意繞過企業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)安全策略。此外，74%的受訪者表示，如果有助于個人或團(tuán)隊(duì)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)（例如，再即將到來的截止日期前完成任務(wù)和/或完成營收目標(biāo)），則會選擇繞開網(wǎng)絡(luò)安全策略。這種對安全策略的漠視產(chǎn)生的原因往往是由于安全因素引發(fā)的摩擦阻礙了員工高效開展工作。

為了避免陷入這一誤區(qū)，企業(yè)應(yīng)使用基于場景的方法進(jìn)行測試，確保策略切實(shí)可行。再工作人員面對的許多實(shí)際場景中測試安全策略，并確定該策略是否為這些場景提供支持或造成妨礙。同時，可以考慮開發(fā)用戶手冊，使用通俗易懂的業(yè)務(wù)語言，而非專業(yè)術(shù)語來解釋所有這些常見場景的安全要求。最后，發(fā)現(xiàn)、理解并解決員工所經(jīng)歷的摩擦。

誤區(qū)3：傳遞的信息無法引起利益相關(guān)者的共鳴

安全治理是指確保采取合理、適當(dāng)?shù)男袆?，以最有效?/span> 最高效的方式保護(hù)企業(yè)機(jī)構(gòu)的信息資源，以實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的流程和能力。由于CEO越來越重視安全事件和違規(guī)行為導(dǎo)致的業(yè)務(wù)損失，媒體的相關(guān)報道也越來越多，很多中國大型企業(yè)機(jī)構(gòu)已經(jīng)設(shè)立了企業(yè)級的安全委員會作為治理機(jī)構(gòu)。

盡管委員會是由來自整個企業(yè)的業(yè)務(wù)和職能部門的高管組成，但安全議程和相關(guān)主題的溝通仍主要以合規(guī)為導(dǎo)向或以IT為中心。這就無法有效展示安全投資對于業(yè)務(wù)成果的價值和相關(guān)性，無法引起CEO和業(yè)務(wù)高管的更多共鳴。

為避免這一誤區(qū)，CIO及安全團(tuán)隊(duì)?wèi)?yīng)該闡述與業(yè)務(wù)成果相關(guān)的安全風(fēng)險，不僅限于合規(guī)，這將更好地引起CEO和委員會業(yè)務(wù)成員的共鳴。同時，了解溝通背景，選擇合適的價值溝通方式。

誤區(qū)4：采用的中心化風(fēng)險決策方法無法支持敏捷數(shù)字項(xiàng)目

由于業(yè)務(wù)部門更多地雇傭自己的數(shù)字化技術(shù)人員，而不是完全依賴企業(yè)的IT人員，企業(yè)機(jī)構(gòu)的安全和風(fēng)險決策日益分散。此外，在中國競爭激烈的數(shù)字化環(huán)境中，企業(yè)機(jī)構(gòu)越來越多地采用敏捷或DevOps的全新IT方法，加速數(shù)字業(yè)務(wù)的交付。這反過來也增加了快速做出風(fēng)險決策的壓力。企業(yè)機(jī)構(gòu)如果仍依賴傳統(tǒng)的單一中心化安全團(tuán)隊(duì)來開展風(fēng)險決策工作，將很難招聘到足夠的安全人才，以應(yīng)對企業(yè)機(jī)構(gòu)內(nèi)部快速增加的分布式風(fēng)險決策的數(shù)量以及決策速度的要求。此外，分散決策的機(jī)會成本很快會超過其增加的價值。

為避免陷入這一誤區(qū)，CIO應(yīng)培養(yǎng)企業(yè)所有員工的網(wǎng)絡(luò)判斷力，滿足敏捷數(shù)字項(xiàng)目風(fēng)險決策的數(shù)量和速度要求，這將大大減少整個企業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)風(fēng)險暴露。此外，由于網(wǎng)絡(luò)判斷力并不要求安全人員全程參與以做出風(fēng)險決策，節(jié)省下來的安全人力資源可以重新分配，用于更具影響力的網(wǎng)絡(luò)安全活動中。