人們很容易迷失在網(wǎng)絡(luò)安全的技術(shù)世界中——信息技術(shù)業(yè)務(wù)依賴于大量的縮寫詞、技術(shù)用語(yǔ)和特定功能的術(shù)語(yǔ)。在應(yīng)對(duì)網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)狀況時(shí)，外行希望聽(tīng)到很多有關(guān)技術(shù)驅(qū)動(dòng)的解決方案的信息。事實(shí)上，我們花費(fèi)了大量時(shí)間來(lái)審查、評(píng)估和選擇特定的解決方案以納入整體安全框架。

依賴這些解決方案而不解決人為因素的首席信息安全官錯(cuò)過(guò)了任何網(wǎng)絡(luò)合規(guī)計(jì)劃中最重要的要素。只是為了說(shuō)明另一個(gè)對(duì)顯而易見(jiàn)的深刻理解——人類/員工負(fù)責(zé)執(zhí)行業(yè)務(wù)職能，最終，網(wǎng)絡(luò)合規(guī)計(jì)劃必須納入強(qiáng)大的以人為本的控制。

這聽(tīng)起來(lái)像是很多胡言亂語(yǔ)。讓我試著把這件事歸結(jié)起來(lái)。人類必須設(shè)計(jì)和實(shí)施以網(wǎng)絡(luò)為中心的控制措施。人們必須就這些控制措施進(jìn)行溝通，以確保每個(gè)人都遵守特定的協(xié)議。網(wǎng)絡(luò)安全專業(yè)人員表現(xiàn)出強(qiáng)大的人際交往能力，盡管他們?cè)诟呒夹g(shù)領(lǐng)域工作。

網(wǎng)絡(luò)安全合規(guī)計(jì)劃的成功取決于人。安全能力和功能融入人的“因素”的程度越高，成功的機(jī)會(huì)就越大。最終，人員推動(dòng)安全成功和長(zhǎng)期績(jī)效。 

安全系統(tǒng)的設(shè)計(jì)必須通過(guò)教育員工了解安全控制、識(shí)別潛在異常、對(duì)潛在威脅做出適當(dāng)響應(yīng)以及根據(jù)現(xiàn)有控制進(jìn)行操作來(lái)提高員工績(jī)效。安全控制在紙面上可能看起來(lái)不錯(cuò)，但它們?cè)诂F(xiàn)實(shí)世界中的實(shí)施和遵循方式?jīng)Q定了安全風(fēng)險(xiǎn)管理計(jì)劃的整體功效。

員工不僅要了解安全意識(shí)，還要了解安全意識(shí)。事實(shí)上，他們需要了解安全控制、控制背后的目的以及實(shí)施和遵循此類控制的方式。CISO 應(yīng)始終檢查過(guò)去的網(wǎng)絡(luò)安全事件，以尋找根本原因、控制效力和員工行為。 

網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者往往專注于技術(shù)解決方案，而沒(méi)有適當(dāng)考慮人的因素——作為第一步，首席信息安全官需要管理技術(shù)和人才，以最大限度地提高能力——技術(shù)和人際交往能力。一個(gè)關(guān)鍵來(lái)源可能是內(nèi)部技術(shù)團(tuán)隊(duì)，可以從中識(shí)別有才能的個(gè)人來(lái)開(kāi)展職業(yè)發(fā)展計(jì)劃。

隨著網(wǎng)絡(luò)安全和技術(shù)在組織內(nèi)的重要性日益增強(qiáng)，越來(lái)越多的員工將在各自工作中履行技術(shù)職能。網(wǎng)絡(luò)安全必須圍繞公司的運(yùn)作方式構(gòu)建——這意味著網(wǎng)絡(luò)安全控制必須根據(jù)組織的工作流程和人員組織進(jìn)行定制。

通過(guò)這種集成方法，CISO 可以開(kāi)發(fā)有效的評(píng)估實(shí)踐，以持續(xù)了解其面臨的威脅。這是公司進(jìn)行有效安全投資的關(guān)鍵要求。在這一領(lǐng)域，CISO 必須使用網(wǎng)絡(luò)安全驗(yàn)證來(lái)檢查如何使用技術(shù)、流程和工具來(lái)驗(yàn)證潛在黑客如何利用特定威脅。通過(guò)整合強(qiáng)大的驗(yàn)證協(xié)議，CISO 可以實(shí)施可重復(fù)的評(píng)估、制定基準(zhǔn)并通過(guò)適當(dāng)?shù)陌踩刂七M(jìn)行響應(yīng)。大多數(shù)公司正在轉(zhuǎn)向網(wǎng)絡(luò)安全平臺(tái)，就像其他風(fēng)險(xiǎn)管理工具一樣，以鞏固網(wǎng)絡(luò)安全功能，例如治理、特權(quán)訪問(wèn)和其他訪問(wèn)管理功能。

任何網(wǎng)絡(luò)安全合規(guī)計(jì)劃的一個(gè)關(guān)鍵組成部分是董事會(huì)的參與和監(jiān)督。很多時(shí)候，公司董事會(huì)未能參與和了解網(wǎng)絡(luò)安全，而是在很大程度上服從 CISO。通過(guò)避免學(xué)習(xí)曲線，董事會(huì)因董事會(huì)監(jiān)督和監(jiān)控失敗而產(chǎn)生額外風(fēng)險(xiǎn)，從而使公司面臨風(fēng)險(xiǎn)。越來(lái)越多的董事會(huì)正在聘請(qǐng)具有網(wǎng)絡(luò)安全專業(yè)知識(shí)的董事會(huì)成員。這是一個(gè)值得歡迎的發(fā)展。