与高层管理人员的交往仍然是一个挑战,因此,不要将网络风险与您的企业其他任何风险区别对待。
渣打银行 网络合作伙伴和政府战略全球负责人 Nina Paine 在伦敦 举行的ATM 与网络安全 2019年会议上发表讲话时,谈到了在 内部创建和维护网络安全文化时需要让高级管理层参与的问题。
潘恩说,随着团队的不断壮大,“有能力与网络犯罪分子和网络威胁参与者保持同步”,这意味着安全团队“不能独自做到这一点,与我们分享知识,见解和关键经验非常重要。世界各地的合作伙伴。”
潘恩说,人们问网络安全文化是否可以由“自上而下”或“自下而上”驱动,她说,这可能是因为“高层和高层管理人员的口气是关键的区别因素。”她还说网络领导者对于网络风险所代表的战略含义很清楚,这可能与企业制定的指标有关。
高级管理人员可以采用的一种口吻是强调“网络安全对我们的客户极为重要。”因此,网络安全必须被视为业务风险,“因为我们知道不这样做的后果是显而易见的。”
Paine 还表示,网络风险应“作为整体企业风险管理的一部分进行规范化”。
那么,网络安全如何成为更广泛的业务讨论的一部分?潘恩建议,这需要在整个业务过程中进行细流,而不仅仅是在单独的房间里安排技术团队。她说,渣打银行将网络安全视为主要风险类型,这意味着它要遵守企业范围的风险管理规则。
她补充说:“无论您是否掌握了这一点,您都必须在每个职能部门内围绕一些对所有公司至关重要的挑战和保证来考虑一些原则。”
潘恩建议分层次努力,以更好地采用文化。公司所做的一件事是在“没有愚蠢的问题,每个人都是人的地方”建立高级主管的安全空间。她说,这个论坛可以可以提高对风险的了解,因为我们“不能仅仅依靠少数技术专家来保证组织的安全”。
她承认,员工的意识可以听起来“粉红色和蓬松”,但是您可以通过自动平台使其成为一项艰苦的技能和纪律。她说,随着渣打银行正在提高其意识,这将使培训,结果和学习得到更好的收集,从而增加游戏化的元素。
最后,她指出“要完成的工作要做”,并建议引入安全性衡量工具,并向部门负责人发布测试成绩,因为这可以推动企业的文化变革。
她说:“我想重申,网络安全风险及其管理是一个共同的责任,从董事会到第一线的每个人都可以发挥关键作用。” “尽管组织的风险文化中确实包含正式的风险政策,但也存在着非常重要的人员方面。”