網(wǎng)絡安全領(lǐng)導權(quán)之爭需要立即停止！缺乏明確負責人和全業(yè)務支持，企業(yè)注定失敗。別再爭論，賦予安全領(lǐng)導者應有的權(quán)力和責任，否則將面臨巨大風險。

你是否曾聽到過有人在公司里認真地問：“誰負責法律事務？”或“誰制定財務戰(zhàn)略？”可能沒有——因為答案應該是顯而易見的。然而，當涉及到網(wǎng)絡安全時，領(lǐng)導權(quán)的問題似乎仍然引發(fā)無休止的爭論。

這種情況在20世紀90年代或許還能理解，當時像首席信息安全官（CISO）這樣的關(guān)鍵安全角色仍在摸索階段。但時至今日，這無疑是一個嚴重的警示信號。

安全早已不再是小眾的技術(shù)問題，而是一項基本的業(yè)務職能。因此，看到一些組織仍然將其視為新概念或事后補救措施，將其夾在IT和合規(guī)之間，沒有明確的領(lǐng)導或方向，這實在令人沮喪。

面對日益猖獗和組織化的威脅行為者，爭論的時間已經(jīng)結(jié)束。網(wǎng)絡安全需要一位擁有領(lǐng)導權(quán)力的明確定義的領(lǐng)導者。否則，注定會失敗。

誰應負責網(wǎng)絡安全？

將十幾位不同的業(yè)務領(lǐng)導者聚集在一個房間里，詢問誰負責他們的安全，你可能會得到同樣多的答案。CISO似乎是最明顯的選擇，但CIO、IT主管或其他類似角色也可能是答案。

實際的頭銜并不重要。重要的是他們是公司中最有資格的人。在大多數(shù)情況下，這個人應該是CISO，但許多公司——尤其是小型組織——并沒有這個職位。

在這種情況下，安全的責任必須向上級轉(zhuǎn)移。必須明確由某個人——COO、CFO甚至CEO負責。“我們沒有專門的安全領(lǐng)導者”這樣的借口是站不住腳的。許多公司完全可以在沒有CFO的情況下制定財務戰(zhàn)略，因此他們毫無疑問可以在沒有CISO的情況下制定安全戰(zhàn)略。

但真正的問題不僅是找到合適的人，而是確保他們擁有權(quán)威、資源和全業(yè)務范圍的支持，以有效執(zhí)行任務。即使是最精明的CISO，如果沒有支持，也只是一個傀儡，而由委員會負責的安全策略注定是一場災難。

除非網(wǎng)絡安全領(lǐng)導者被賦予與法律或財務戰(zhàn)略同等的權(quán)威和責任，否則他們將繼續(xù)讓自己暴露在風險之中。內(nèi)部的不確定性是網(wǎng)絡犯罪分子夢寐以求的脆弱目標。

為什么安全不能孤立運作？

多年來，我們一直在爭論網(wǎng)絡安全是一個業(yè)務問題，而不是IT問題。然而，安全仍然經(jīng)常被當作一個孤立的功能，被放任在真空中運作。這是一個嚴重的錯誤。如果安全領(lǐng)導者沒有在決策桌上占有一席之地，他們就無法真正影響更廣泛的業(yè)務戰(zhàn)略。

保障公司安全是一項團隊努力。正如CFO不會單獨“負責”財務成功一樣，CISO（或任何負責安全的人）也不應該獨自戰(zhàn)斗。

盡管應該有一個明確定義的安全領(lǐng)導者，但高管層必須共同承擔責任，確保安全嵌入到組織的每一個方面。

安全策略必須是自上而下的，而不是自下而上的。如果領(lǐng)導層不推動它，再多的技術(shù)控制也無法拯救企業(yè)。安全政策——無論是強制執(zhí)行多因素認證（MFA）還是設置數(shù)據(jù)治理規(guī)則——不應該被視為IT指令。它們是業(yè)務決策，必須被如此對待。

治理是強大安全戰(zhàn)略的支柱

將網(wǎng)絡安全作為團隊努力的一部分，很大程度上有賴于適當?shù)闹卫碇С?。然而，網(wǎng)絡安全往往被視為一種模糊的愿望，而不是一種結(jié)構(gòu)化、可問責的功能。沒有治理的策略不過是一張愿望清單。

沒有明確的治理，安全工作很容易變得被動、脫節(jié)，并容易被董事會上聲音最大的人否決。

治理確保網(wǎng)絡安全是一項可執(zhí)行的業(yè)務優(yōu)先事項，而不是一項勾選框的練習。這意味著制定明確的政策，定義風險容忍度，最重要的是，確保安全決策基于實際的業(yè)務需求，而不是內(nèi)部政治。

此外，治理不僅僅是自上而下的指令。它是一條雙向通道：董事會設定方向，但來自安全團隊和運營人員的反饋會對其進行優(yōu)化。僅存在于紙面上而沒有業(yè)務現(xiàn)實輸入的治理框架，與完全沒有治理一樣危險。

要使網(wǎng)絡安全與更廣泛的業(yè)務目標保持一致，主要利益相關(guān)者需要保持定期溝通。具體頻率取決于公司的規(guī)模和結(jié)構(gòu)，因此每個企業(yè)都需要找到一個平衡點。重大投資和變更應通過變更咨詢委員會（CAB）流程，以確保一切都被考慮到。

外包：解決方案還是捷徑？

值得注意的是，對于許多企業(yè)來說，安全并不是內(nèi)部處理的，而是一項外包功能。這通常是資源有限的小公司的選擇，缺乏資源來招聘和留住專門的網(wǎng)絡安全負責人，但大公司也可能如此。

在我的職業(yè)生涯中，我曾經(jīng)歷過雙方的角色，既擔任過顧問，也管理過外部供應商。

一個重要的教訓是，如果企業(yè)只是簡單地將任務拋給一群顧問，并說：“為我們制定一個網(wǎng)絡安全策略”，這是行不通的。沒有適當?shù)妮斎牒头较颍Y(jié)果可能并不適合你的公司。

多年前，我曾在一家公司工作，我們將業(yè)務連續(xù)性規(guī)劃外包給一家大型供應商。他們制定了一份詳盡、精美的200頁計劃……但這完全不適合我們的業(yè)務。我們重寫了它，最終將其精簡為15頁，緊密貼合我們的需求。

另一方面，作為顧問，我曾幫助創(chuàng)建了一些優(yōu)秀的框架，公司負責大部分工作——我只是提供一個框架，并提出正確的問題，引導他們以正確的方式思考。

我還強烈建議，如果你不愿意保持參與，那就不要外包。安全不是一次性交付的持續(xù)監(jiān)督和問責無法完全外包。

少談多做

沒有企業(yè)會期望在沒有明確的法律或財務領(lǐng)導的情況下取得成功，那么為什么安全要有所不同呢？關(guān)于網(wǎng)絡安全領(lǐng)導權(quán)的無休止爭論需要停止。

確定負責人，賦予他們領(lǐng)導的權(quán)力，并確保他們擁有全業(yè)務的支持，以做好保障組織安全所需的事情。

停止爭論，開始決策，賦予網(wǎng)絡安全應有的領(lǐng)導地位。