首席信息安全官(ciso)和安全专家经常抱怨高级管理层对信息安全不感兴趣. 在信息安全治理中缺乏管理层和董事会(BoD)的参与是许多组织的现实. 尽管近年来观察到实践的积极发展,但高级管理层只在事件期间或建立预算时对信息安全感兴趣的刻板印象并没有完全消失, 尤其是随着网络安全威胁意识的增强. 尽管在治理实践中取得了许多进步,但高级管理层倾向于将有关安全计划的决策委托给IT或操作仍然存在, 尤其是受到法规或数字化转型的刺激. 业务对信息安全的性质和依赖程度也对高级管理人员参与信息安全治理过程的意愿起着很大的作用.
人们可以争论很长时间的原因和潜在的补救措施, 但主要原因应该从以下几个方面寻找:技术(通常是难以理解的术语), 组织(信息安全团队的定位和职责)和战略一致性(通常不认为信息安全对组织的绩效至关重要). 没有对信息安全的好处有透彻的了解, 高级管理层倾向于将安全成本视为覆盖广泛威胁的保险费,而没有真正了解它们, 或者是保持合规所需的必要费用. 了解信息安全对澳门赌场官方下载的附加价值是最重要的 sine qua non 让高级管理人员参与信息安全治理的过程.
Therefore, 安全人员正在问自己,他们如何才能改变这种情况,使安全项目的运行过程更接近组织的真正挑战. 将ciso重新定位到更高的责任级别, reporting directly to the C-level, helps improve the situation, but organizational changes alone are not enough. Solutions must be sought in a strategic alignment, 在公司最高层建立标准化的报告流程,并为信息安全提供可接受和可理解的度量标准. 首席信息安全官必须领导文化变革,并提出一个基于系统报告和清晰的审查过程, 可接受的度量标准允许高级管理人员以整体的方式掌握有关信息安全的决策.
安全官员应该构建对高级管理层有用的信息安全度量标准和报告. 只要建议的关键绩效指标(kpi)和安全报告的格式包含了高级管理层的问题的答案, 基于这些要素的审查过程可以很容易地被接受. 通过完善信息安全报告的内容, 高级管理人员参与信息安全治理将成为现实.
让高级管理人员参与治理过程, 必须使用他们理解的语言(术语)来阐明信息安全的附加价值. 强调信息安全对组织结果的贡献(通过支持战略计划或降低操作风险)的高级kpi和报告只能有利于高级管理人员更好地参与信息安全治理过程. 通过提供kpi和可理解的报告系统, 首席信息安全官将有机会与其他业务线经理一起被视为有价值的合作伙伴. 然后应该对kpi和报告的内容进行审查和不断调整,以尽可能密切地响应组织中高级管理人员的关注.
Editor’s note关于这个话题的进一步见解,请阅读Andrej Volchkov最近在《澳门赌场官方下载》上发表的文章: 安全治理的关键绩效指标,第1部分.
