信任是任何关系的基石, 它是在许多因素的基础上逐步建立和培育的. 当我们作为客户决定选择产品或服务“a”而不是“B”时,“这主要是基于我们对该产品或服务提供商的信任. 这种信任最初可能处于婴儿期,可能会因为未达到的期望而成长或完全破碎.
任何组织的高级行政领导都有责任将这种信任保持在最佳水平. 信息安全领导在通过保密性建立和维护信任方面起着至关重要的作用, 信息系统及其所含数据的完整性和可用性.
由于信息安全和隐私是一些组织新近宣布的重点, 全面达致保安策略的目标, 来自安全部门以外的高级管理人员的支持是极其重要的. However, 问题仍然是,首席信息安全官需要什么样的支持,以及他们如何获得这种支持.
真正需要的是什么级别的高级行政管理支持?
The word support 不幸沦为陈词滥调了吗. 资讯保安总监往往对各自主管的保证过于满意(CEOs, CROs, etc.)有“最好的安全”,以确保业务的安全. 从根本上说,拥有最佳安全性的概念无论如何都是不合适的. “最佳安全”一词在本质上是主观的,在拥有“最佳安全”方面是主观的, 证券可能开始扼杀澳门赌场官方下载, 对业务运营速度产生负面影响. 撇开最初与安全有关的保证不谈,这时摩擦开始悄然而至.
这就引出了一个基本问题:多少安全性才足够. 答案就在这句话里 “足够安全” 适合业务,使安全最终不会损害业务. 这就要求您根据来自安全部门以外相关涉众的输入,仔细制定安全策略.
一旦开发并批准了安全策略,那么支持问题就开始发挥作用了. 从这个阶段开始,ciso需要的支持是坚定不移的支持,这种支持源于明确的战略安全目标和追求这些目标的决心.
信息安全战略的执行通常跨越三年, 在这段漫长的时间里,自然会遇到各种各样的障碍,这些障碍会耗尽涉众和执行战略信息安全计划的团队的精力. 正是在这些时刻,高级管理人员的决心受到了考验. 这是清晰视野的时刻, 围绕信息安全的使命和战略目标可以在维持执行战略所需的能量和动力方面发挥关键作用.
这种对信息安全计划的坚定支持是ciso应该从他们的上级主管那里寻求的那种支持,这样他们就能够向澳门赌场官方下载提供预期的信息安全服务,并帮助澳门赌场官方下载建立和维护向客户承诺的信任.
获得所需的支持
我们在上面探讨了获得高级执行管理层的适当支持意味着什么,这种支持超越了语言和对安全目标的表面理解. 然而,需要作出相当大的努力来获得这种所需的支持.
在任何给定的组织环境中,都必须理解这一点, 组织部门之间经常会发生多次无声的战斗. 这些斗争不一定是基于恶意,而是基于应该如何追求战略性商业目标.
在叙事的战斗中,我们经常看到错误的故事和前提赢得了战斗. 这是因为正确的叙述没有得到适当的呈现和事实的证实, 提供主, 二级和三级以细节为辅的前提. 因此,重要的是要理解,围绕信息安全的叙述必须精心设计,并得到事实和实证分析的支持, 将安全性呈现为业务的推动者,而不是在业务路径中制造障碍的力量.
当安全作为实现战略目标的推动者时, 它开始展示和激发信任, 通过其治理和风险管理实现可靠性和问责制. 这使得安全性赢得了信誉, 在高层管理人员中享有良好的声誉和信任, 因此,每当安全部门提出一个问题时, 它被赋予了应有的价值.
安全预算分配不足的挑战往往是由安全领导提出的. 然而,安全部门领导人表达的这些担忧往往是有道理的, 这通常源于其他问题,比如安全团队的声誉, 与行政领导的信任程度,以及在以前的风险投资中安全性对业务的支持程度.
ciso可以获得所需的安全预算, 但是,如果他们不理解或不设定安全将如何使业务实现的明确期望, 然后他们对整个安全部门及其叙述造成巨大损害. 因此,预算的分配必须从战略上加以处理. 通过逐步建立安全团队的声誉, 作为ciso,我们可以要求与现实方法一致的期望预算, 最佳实践和业务需求.
记住,信任是在一段时间内通过持续的努力和采取正确的方法赢得的. 为了让CISO和安全团队朝着更理想的状态努力,在建立安全信任的过程中需要忍受的痛苦是必要的.
