想要提高安全成熟度先解决沟通问题
当下,越来越多的企业意识到要提高安全成熟度,行业新闻充斥着大量的新威胁和漏洞,这种种风险对组织的系统而言都是致命的,随时随地都会对我们的社会造成严重的破坏。然而,虽然这些新出现的威胁会让更多企业提高警惕,但这并不代表“完善”。
从宏观来看,网络安全是一个全球性问题,其影响着世界各地每一个组织,然而并没有任何途径可以保证完美的安全,所有组织提高网络安全成熟度的方法都必须包括从一般性到具体性的转变,因此就需要涉及到运营、风险承受能力、法规和最佳实践。
国外安全专家指出,我们需要评估通用指南的适用性,还要评估适应其中个别需求的安全能力,而这对大多数组织来说是比较重大的挑战。现实中,即使许多组织的目标在不同团队中达成了一致,但实现这些目标的途径却各不相同,这是因为具有不同观点和动机的利益相关者们未能进行有效的沟通,所以即使目标一致,执行起来也不尽人意。
每个企业的运作不同,包括用什么工具、技术来维持这些运作也都各不相同,而企业之所以能在竞争激烈的市场上脱颖而出,关键就在于设计、优化交付产出的流程,这其中的差异化是成功的主要因素。
当一个组织想设计、优化其流程时,许多利益相关者就会参与进来,他们每个人都会提出不同的观点、理解和认知,而只有当这些不同的观点都能被考虑进去时,彼此间的沟通才会有效,组织才能更好的发展。相反,当无效的沟通、观点的忽视和排斥的氛围弥漫在组织内部,其带来的结果就会无比糟糕,甚至在实施之前就已经丧失了去市场竞争的机会。
网络安全问题中的沟通失误是影响组织目标的主要原因。在许多情况下,人们对如何克服这一问题知之甚少,现实中,各执己见削弱了解决问题的能力,而更糟糕的是,这将进一步使问题永久化。一个又一个的倡议未果,会进一步侵蚀彼此间的信任,同时风险也不会得到有效的管理。
组织需要各团队思想一致地去提高安全能力,切不可因沟通问题而导致优先事项错位,但现实中,这种不理想的情况常常会发生,比如安全团队向公司高层描述了高风险的危害,因此需要相应预算来抵御风险,但通常而言,安全团队所申请的预算都是不到位的,很难支撑他们完成任务。
对此,安全团队的反应是惊讶:“你们知道组织内部的风险有多大吗?”而对于领导团队来说,他们却觉得自己已经采取了与量化风险相称的选择,这样问题就很明显了,双方在各自的角度都是对的,但同时也都是错的,因为彼此没有为对方去思考。而这种状态在组织里是非常常见的。
不同部门之间需要从始至终都保持沟通的效率,比如每个部门都可分享一个有韧性、可持续发展的企业目标,然后就各种要素的动机决定其优先级,国外安全专家对此表示,虽然人会通过他们对优先事项的理解来衡量倡议的重要性,但如果未能告知他们相关倡议的影响力和对组织发展来说意味着什么,这就会导致所谓的错位和失败。
有效的沟通可以提高团队间的参与度,可以发展成一种强大的讨论文化,然而这并不代表所有问题都被解决了,组织外部各方的巨大噪音、意见和反馈同样让人措手不及,而尽管如此,内部沟通还是极其重要的,其第一步要点是承认所存在的挑战,并对参与其中持开放态度。