安全专家必须将网络安全与商业成果联系起来

网络安全已经被提上董事会议程至少十年了，但最近的冠状病毒爆发突显了高管对网络安全的理解与他们组织的实际能力之间的脱节。

下载IT路线图:网络安全

“我们在COVID-19疫情期间看到的故事是突显许多组织在网络安全方面采取的失败方法的最新例子，”他说保罗•普洛克特， Gartner杰出副总裁分析师。当高管们专注于确保合规和阻止黑客时，像启用安全远程访问技术这样具有更大商业影响的简单机会被忽视了。现在，各大机构都在争相追赶。”

“COVID-19的脱节应该为首席信息官(cio)、信息技术总监(CISOs)和IT高管敲响警钟”

在冠状病毒爆发期间发现的这些错失的机会只是安全与商业成果之间的脱节经常被低估的最新例子。组织应该专注于在业务环境中创建充分、合理、一致和有效的控制。

阅读更多:2019冠状病毒病期间要关注的7个安全领域

COVID-19的中断应该为cio、ciso和IT高管敲响警钟，让他们认识到在业务环境中解决网络安全问题并将其作为业务决策的迫切需要。但IT领导者可以建立一种高管叙事，以改变他们的组织如何对待网络安全。

解决失败的网络安全方法

许多组织对网络安全采取了无效的方法。这些失败的方法导致了糟糕的决策和糟糕的投资。以下是限制网络安全对商业影响的四个关键挑战。

1.社会观念认为网络安全是一个技术问题，最好由技术人员来处理。

这导致与高管缺乏接触，交流效率低下，期望不切实际。最终，它会导致糟糕的决策和糟糕的网络安全投资。

2.组织机构对网络安全提出了错误的问题。

问题比如“我应该在网络安全上花多少钱?”或者“我怎样才能遵守规定?”这些都不能反映出组织的保护水平。这些错位的问题将注意力从改善优先事项和更好的投资上转移开。

阅读更多:董事会不可避免会问的5个安全问题

3.目前旨在解决局限性的投资和方法是没有成效的。

各组织都专注于有很大希望的新方法，但由于执行失败和预期设定不佳，这些投资只是拖延了能够更好地改善网络安全的活动。例如，许多公司使用量化来表示资金方面的风险和安全性(这是500万美元的风险还是5000万美元的风险?)和损害的可能性(被黑客攻击的概率是多少?)

然而，这些计算通常是基于假设和“专家意见”，而不是真正的量化业务评估。用量化的表象来得到你想要的东西并不支持改进网络安全。

4.真正的失败是没有得到足够的重视来有效地改变行为。

例如，一家医疗监控设备制造商在开发其联网产品时，为了削减成本和加快生产时间，忽略了网络安全。这些基础软件漏洞百出，一旦被发现，网络犯罪分子就会利用这些设备部署勒索软件。这使得医疗专业人员无法使用这些设备，并在需求高峰期造成严重短缺。

行政决策和有效的网络安全之间的脱节应该鼓励商业和安全领导者将注意力集中在解决问题的新方法上。