通过3个步骤构建一个可防御的网络安全计划

随着数字化风险的发展和网络安全威胁的增长，安全和风险领导者要有效地保护组织，只有一种方法——建立一个持续的、可持续的安全计划．然而，组织往往会优先考虑合规方框，而不是建立有效的、基于风险的控制。

“当组成部分和目标是相关的，并且用非技术术语表述时，主管们更有可能认同一个愿景。”

结果呢?项目在业务层面缺乏可防御性，导致不信任，并使其更难获得足够的支持和投资。

“由于缺乏与业务成果相联系的可防御的安全项目，企业领导人继续将安全视为业务阻碍，”他说汤姆Scholtz， Gartner杰出副总裁分析师。

阅读更多:为您的董事会做的15分钟，7张幻灯片的安全演示

为了实现一个可防御的信息安全管理计划，安全和风险管理领导者必须把生意做好当他们建立治理并发展有效评估和解释风险的能力时。

用安全章程建立问责制

可防御性的一个关键方面是有适当的文件和流程，以支持基于风险的控制决策。

要形成安全程序的基础，请创建企业安全章程。这份简短、简单的语言文件为保护信息资源确立了明确的所有者责任，并为CISO(或等效人员)提供了建立和维护安全计划的授权。

行政领导必须阅读、理解、认可并每年审查章程，确保在角色、范围和责任上签字。

立即下载:成熟的信息安全路线图

建立一个信息安全指导委员会，以确保安全团队不是在真空中做出决策。包括跨业务单位和职能的直接决策表示。

通过为高级业务领导对安全计划的持续投入和支持创建一个地方，其他领导不仅能够看到他们自己的业务单元的风险，而且能够看到整个业务的风险。

为安全程序设定一个清晰的愿景

对安全程序的业务支持取决于传递反映企业独特业务环境的清晰远景。最近有削减成本吗?组织的数字化之旅在哪里?哪些监管要求发生了变化?

当组成部分和目标是相关的，并且以非技术术语表述时，主管们更有可能认同一个愿景。远景应该反映中长期业务对安全的需求。

阅读更多:安全与风险领导者如何应对预算削减

提供优先顺序的路线图，清楚地将项目和纠正措施与风险、漏洞以及相关的业务、技术和环境驱动因素联系起来。

展示对不断变化的威胁的快速反应

安全是一个不断变化的目标，高管们面临着证明企业能够应对不断变化的威胁的压力。通过调整程序来预测和应对频繁的、意想不到的变化，安全和风险管理领导者展示了他们保护组织的能力——无论在商业环境中发生什么。

为了指导敏捷安全计划的实施和日常操作，与业务合作伙伴制定一套一致同意的原则。这些原则的例子包括:

• 支持业务成果，而不仅仅是保护基础设施

• 在设计和管理安全控制时考虑人为因素

• 对企业环境进行定期/定期的脆弱性评估

列出这些原则可以帮助您持续改进安全控制的有效性和效率，同时还可以对更改做出反应。