安全管理體系是一個復雜的生態(tài)系統，定義了企業(yè)的關鍵信息、安全原則、資源和活動（見圖1）。企業(yè)機構所構建和運行的安全體系往往難以既對員工實用，又能有效管理快速發(fā)展的數字風險。因此，首席信息官（CIO）必須了解并避免陷入誤區(qū)，構建強韌的安全體系，應對中國數字業(yè)務面臨的網絡安全挑戰(zhàn)。CIO及其安全對團在構建切實可行的安全體系時，容易陷入四個常見誤區(qū)。這些誤區(qū)包括：

·       設定不切實際的目標，希望抵御所有攻擊

·       安全策略引發(fā)摩擦的同時并未有效降低風險

·       高層匯報溝通時，傳遞過多未與業(yè)務掛鉤的安全技術運營層面的信息

·       采用傳統的中心化方法來支持分布式風險決策，這種方法在應對敏捷數字項目時無法有效擴展

圖1：安全管理體系的組成

誤區(qū)1：設定不切實際的目標，希望抵御所有攻擊

在當今的數字化環(huán)境和威脅環(huán)境中，企業(yè)機構要設定一個旨在遏制所有攻擊的安全目標是既不現實，也不合適的。目前不存在完美的防護機制，在多邊的業(yè)務和風險環(huán)境中，企業(yè)機構應在防護措施與業(yè)務運營需求之間取得平衡。這種平衡需要與業(yè)務領導者進行討論和決定，而不是由IT部門單獨決定（見圖2）。

圖2：安全是一種選擇：何為適度風險？

當高管詢問“我們能否達到百分之百安全”時，CIO及其安全團隊應將談話引向對風險的討論。投入大量資金來預防對業(yè)務影響較小的安全事件，并不符合成本效益。企業(yè)機構應明確可能影響業(yè)務戰(zhàn)略目標和績效實現的安全風險，并定義風險控制衡量指標。在業(yè)務目標、影響業(yè)務成功的安全風險和跟蹤指標之間建立明確聯系，這一點至關重要。

誤區(qū)2：安全策略引發(fā)摩擦但并未降低安全風險

安全策略的根本目的是通過識別、評估和控制風險，鼓勵促進安全的行為，阻止不利行為。盡管如此，員工可能發(fā)現安全團隊獨立制定的一些策略難以遵守，對其角色而言并不合理，并且與其工作目標相沖突。因此，員工會選擇忽略這些策略，繼續(xù)采取不安全的行為。

2022年Gartner安全行為驅動因素調研發(fā)現，過去12個月中有69%的員工有意繞過企業(yè)機構的網絡安全策略。此外，74%的受訪者表示，如果有助于個人或團隊實現業(yè)務目標（例如，再即將到來的截止日期前完成任務和/或完成營收目標），則會選擇繞開網絡安全策略。這種對安全策略的漠視產生的原因往往是由于安全因素引發(fā)的摩擦阻礙了員工高效開展工作。

為了避免陷入這一誤區(qū)，企業(yè)應使用基于場景的方法進行測試，確保策略切實可行。再工作人員面對的許多實際場景中測試安全策略，并確定該策略是否為這些場景提供支持或造成妨礙。同時，可以考慮開發(fā)用戶手冊，使用通俗易懂的業(yè)務語言，而非專業(yè)術語來解釋所有這些常見場景的安全要求。最后，發(fā)現、理解并解決員工所經歷的摩擦。

誤區(qū)3：傳遞的信息無法引起利益相關者的共鳴

安全治理是指確保采取合理、適當的行動，以最有效、 最高效的方式保護企業(yè)機構的信息資源，以實現其業(yè)務目標的流程和能力。由于CEO越來越重視安全事件和違規(guī)行為導致的業(yè)務損失，媒體的相關報道也越來越多，很多中國大型企業(yè)機構已經設立了企業(yè)級的安全委員會作為治理機構。

盡管委員會是由來自整個企業(yè)的業(yè)務和職能部門的高管組成，但安全議程和相關主題的溝通仍主要以合規(guī)為導向或以IT為中心。這就無法有效展示安全投資對于業(yè)務成果的價值和相關性，無法引起CEO和業(yè)務高管的更多共鳴。

為避免這一誤區(qū)，CIO及安全團隊應該闡述與業(yè)務成果相關的安全風險，不僅限于合規(guī)，這將更好地引起CEO和委員會業(yè)務成員的共鳴。同時，了解溝通背景，選擇合適的價值溝通方式。

誤區(qū)4：采用的中心化風險決策方法無法支持敏捷數字項目

由于業(yè)務部門更多地雇傭自己的數字化技術人員，而不是完全依賴企業(yè)的IT人員，企業(yè)機構的安全和風險決策日益分散。此外，在中國競爭激烈的數字化環(huán)境中，企業(yè)機構越來越多地采用敏捷或DevOps的全新IT方法，加速數字業(yè)務的交付。這反過來也增加了快速做出風險決策的壓力。企業(yè)機構如果仍依賴傳統的單一中心化安全團隊來開展風險決策工作，將很難招聘到足夠的安全人才，以應對企業(yè)機構內部快速增加的分布式風險決策的數量以及決策速度的要求。此外，分散決策的機會成本很快會超過其增加的價值。

為避免陷入這一誤區(qū)，CIO應培養(yǎng)企業(yè)所有員工的網絡判斷力，滿足敏捷數字項目風險決策的數量和速度要求，這將大大減少整個企業(yè)機構的網絡風險暴露。此外，由于網絡判斷力并不要求安全人員全程參與以做出風險決策，節(jié)省下來的安全人力資源可以重新分配，用于更具影響力的網絡安全活動中。