网络安全资金对企业来说是一个无底洞吗?
|
不过,正如Michael Gabriel在IBM高管会议上了解到的那样,人们通常根据当前的确定性来决定未来的不确定性。David Rock博士在行业媒体上发表的文章支持了这一点:“通常人们的大脑渴望确定性,并像避免痛苦一样避免不确定性”,这篇文章提到了如何处理确定性与不确定性的原则。人们致力于自动避免不确定性,并说明了为什么偏爱所了解的当前事物而不是不利的事物。它解释了当前财务成本增加的阻力,以及何时发生网络安全事件对其财务影响的不确定性。 在这里,有很多首席信息安全官的例子,有人问他们是否会在明年或几年内再次提出对额外资源的要求。他们并不会表示内部和外部因素都会有影响。因此建议他们确保传达要求的原因,这是公司控制的事件,例如收购和整合成本使他们的新业务提高了安全性?如果是这样,则要决定这些更改是否合理,因为这是业务决策。还是有新的业务扩展(例如直接面向消费者)对网络安全产生影响?还是需要保护新的营业地点?企业需要感觉自己对这些决策拥有一定的控制权。只有通过适当的评估框架,并了解潜在的网络安全事件和预防性缓解成本对业务的影响,才能做到这一点。 由于发生某种类型网络安全事件的可能性很高,因此企业还需要为事件响应做好准备——操作、法定和面向公众。所有这些都会受到特定事件、业务类型、技术结构、第三方依赖关系以及不同类型的网络安全事件的潜在影响。这也可以用上述类似的基于风险的方法来处理。 除非企业认真对待网络安全,否则将掉入资金的黑洞。企业管理人员需要做出权衡和艰难的决定。需要准备好回答有关组织的网络安全成熟度和为管理新出现的威胁而建立的框架的问题。应确保网络安全状态的框架与管理其他业务风险的方式类似,即潜在安全事件对业务资产的影响。 与企业首席财务官、首席运营官以及首席法律官(内部或外部审计)合作,以帮助为此提供依据。例如首席信息官、首席技术官、首席信息安全官等高管有责任以业务术语简洁地解释潜在风险和降低风险。尽管有些高管不喜欢看到网络安全问题被记录在案,但对此视而不见将会面临风险。以业务可理解的角度负责任地传达此信息,并建立适当的利益相关者支持,这是企业的责任。
(编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
