通过“防线”模型的视角来思考网络安全领域的领导力是很重要的. 如果你是一个在第一道防线执行任务的领导者(1LOD), 然后,您的工作是适当和及时地执行控制活动(过程和技术),以确保您的组织得到适当的保护. If, 然而, 你的工作是在第二道防线上, (2LOD)那么你需要确保你已经彻底地向决策者传达了与各种行动(和缺乏行动)相关的风险,以便他们能够做出明智的决定.
由于大多数网络安全组织发现自己在通常被称为“1”的情况下运作,这种清晰度往往模糊不清.5 .防线. 他们操作一些控制:数据丢失预防(DLP), 端点检测, 保护, 和响应(EDPR), 入侵检测, 事件管理. 然而, 他们还经常负责检查配置和补丁, 还涉及到应用程序的特性和功能, 基础设施, 以及第三方组织, 并提出好的建议, 坏, 其中的丑陋.
成为一个有效的网络安全领导者,同时在1.第五道防线是关于最大化两个截然不同但又相互对立的原则. 第一个, 你必须百分之百地管理网络安全运营, 绝对保护公司不受任何可能发生的坏事的影响. 这些组织的工作人员需要知道,他们有能力防止攻击的发生,并能在肇事者的踪迹中抓住他们. 他们需要知道你会在他们身上投资, 他们的培训,以及他们的能力,以确保他们能够保护组织.
与此同时,你必须知道,在足够长的时间线上,每个人都会失败. 组织中的人或商业伙伴会犯错误. 你将无法获得所需的所有资源和技术的资金,以建立最好的防御. 你可能会被有能力突破你防御的人攻击, 尽管一切努力都是相反的. 最后, 威胁和脆弱性变化如此频繁,以至于你的防御系统中可能存在隐藏的漏洞,直到为时已晚才被发现.
成为一个有效的网络安全领导者意味着帮助你的员工避免倦怠, 内疚, 而沮丧则来自于没有得到所需的人数, 新项目的资金, 或者更糟, 在不可避免的情况下经历数据泄露. 有效领导, 作为一名领导者,你需要采用这样的原则:确保做出明智的决策,并考虑和控制剩余风险. 澳门赌场官方下载不必投资于每个可用的安全解决方案(事实上, 这样做可能会妨碍他们有效运作的能力。, 只要你恰当地告知利益相关者,不选择更安全的选项可能带来的不良后果, 让他们接受与这些坏结果相关的风险.
风险接受是网络安全领导者的“免于牢狱之灾”的名片——而不是“我早告诉过你”的方式, 但要以一种合作的方式,帮助澳门赌场官方下载将你视为合作伙伴, 不是障碍, 网络安全人员觉得他们的担忧似乎得到了解决.
作者简介: 杰克·弗伦德博士.D., 中钢协, CISM, CRISC, 是导演, TIAA网络风险管理, CRISC认证工作组成员, 《澳门赌场官方下载》的合著者, 2016年入选网络安全佳能, IAPP信息隐私研究员, 以及2018年ISACA的John W. 雷恩哈特四世共同知识体系奖获得者.
