谁负责管理网络安全?提示:停止指向CIO

当cio和CISOs装备企业积极参与决策时,网络安全及其影响的共同责任就会出现。

过去两年,从Colonial Pipeline、SolarWinds到JBS肉类生产公司,重大网络安全事件急剧增加。鉴于网络入侵的高成本和高频率,88%的董事会现在承认网络安全是一种商业风险,而不仅仅是一个IT问题——比五年前的58%有所上升。

然而,组织并没有改变问责文化以反映这些更新的观点。在接受Gartner 2022年董事会观点调查的85%的组织中,首席信息官(CIO)或首席信息官(CISO)仍然承担着网络安全的主要责任。

立即下载:网络安全事件响应计划中的3个必备事项

“首席信息官们必须重新平衡网络安全责任,以便与商业和企业领导人共享,”他说保罗•普洛克特, Gartner杰出副总裁分析师。他们被认为是保护企业安全的最终决策者和权威,但实际上,业务领导者每天都在做影响组织安全的决策。他们应该分担责任。”

为了促进网络安全向共享责任模式的转变,要积极主动地与董事会合作,建立共享责任的治理模型,并与企业领导人合作,创建一个控制方案,平衡保护与业务需求。从评估网络安全当前状态作为业务问题的短期实践开始,然后是一组确定新的共享问责治理模型的长期行动。

安全的电子书:2022年领导的愿景

网络安全责任仍然主要落在IT部门

导游:关于网络安全你需要知道的一切

5个问题来评估网络安全作为一个商业问题的现状

这些问题可以让你初步了解企业在与IT部门分担网络安全责任方面的准备情况:

  1. 组织是否可以在没有安全人员协助的情况下做出风险决策?
  2. IT部门能解释每个安全控制的业务价值吗?
  3. 与组织的安全控制相关的度量指标反映了什么:保护级别(技术角度)还是操作功能(业务角度)?
  4. 与业务目标相比,安全决策花费在恐惧、不确定性和怀疑上的时间占比是多少?
  5. 该安全计划是否能得到客户、股东和监管机构的支持?

阅读更多:证明你的网络安全计划有效的4个指标

向共享责任转变

明确了你的组织在分担网络安全责任方面的准备程度后,你就可以采取措施,让其他企业领导人参与决策和权衡。例如:

  1. 共享网络安全决策。介绍与网络安全方法和投资相关的可用选项,并包括与每一种方法相关的风险和成本。提供信息并让商业领袖参与决策会让他们更有可能承担责任。
  2. 沟通风险、价值和成本的最佳平衡。通过衡量每个业务部门产生的价值与他们应对已知风险的准备程度之间的关系,以及这样做的成本,帮助确定网络安全投资的优先级。创建一个可视化矩阵,以实现快速、跨业务单元的比较。
  3. 用信誉和声誉——而不是恐惧——来激励问责。专注于共同的目标将有助于促进与业务方面合作伙伴的沟通和协作。

体验信息技术会议

加入您的同行,在高德纳会议上揭开最新的见解。

Gartner Terms of Use 和隐私政策。< / > "> 登录到您的帐户 访问您的研究和工具

" class="eloqua-text"> 登录到您的帐户 访问您的研究和工具" class="optin-text">