【企业安全架构】会议室的信息安全

在最近关于“安全不是一个IT问题”的演讲之后,我们决定建立一个世界咖啡馆,以进一步讨论周围的主题,该调查研究了许多组织内政策和措施之间缺乏关系。我们将讨论分为四个主题,并对每个主题进行了辩论。在我之前在本系列的博客中,我写了关于信息安全中的7个最差实践。在本博客中,我将介绍董事会中有关信息安全的讨论结果。请在下面的评论部分与我们分享您的想法。


提出解决方案,而不只是问题


安全问题,威胁和挑战是一个有趣的讨论话题,非常重要。但是,董事会成员需要做出决策,他们需要快速做出决定。因此,提出您的组织目前面临的风险非常重要,但也要提出在威胁未得到解决时可能出现的潜在情景,并就如何向前发展提出建议。大多数与会者声称董事会不愿意就可能的威胁进行长期的,知识性的讨论,但他们希望得到明确的信息和准备充分的决策。

董事会不是一个人......这是一个个人的集合,每个人都有自己的议程。作为负责组织安全的人,您需要了解他们面临的挑战,并就他们应采取的措施向他们提出建议。如果您不成功,很可能您的“技术”消息无法在董事会中找到牵引力。

与组织目标保持一致


业务目标通常比董事会成员的个人目标和抱负更好地记录。我们研讨会上的一些安全架构师确实从目标,原则,安全架构中的元素到安全措施,制定了推理方法。其他人只是梦想有这样一个有条理的正式道路,但相信这会帮助他们完成自己的工作。

用例


董事会成员的政策和措施似乎是抽象的。创建一个真实的案例,说明当黑客敲开您的数字门时发生的事情,或者当雇用新员工时会发生什么事情将使董事会的事情变得活跃起来。您可以通过模拟来说明这一点。其中一位与会者表示,实时黑客攻击董事会成员的iPhone和平板电脑会留下令人难忘的印象!

来自监管机构的压力


据一些与会者称,合规性问题,规则和法规正在分散公司对帮助客户改善业务的注意力。一些安全架构师表示,监管机构的压力有助于他们将安全和隐私问题列入董事会议程。帮助组织变得合规被视为安全专家可以为组织带来的真正商业价值。

Information security in the boardroom

理解背景
 

信息风险和安全性只是运营组织的一个方面。如果您不理解安全性只是董事会议程中的众多方面之一,那么您将无法成功地影响它们。或者你会立刻感到沮丧。通过在业务目标的上下文中提供安全性,您表明您了解生命不仅仅是安全性,风险,隐私和信任。还有销售,易用性和上市时间。这将为未来的合作奠定良好的基础。

信息安全不仅仅与技术有关,而且也是一个需要董事会理解和认可的业务问题。参加我们研讨会的专业人士提示可能会帮助您解决您所面临的挑战。

我们希望您喜欢我们关于信息安全的博客系列,我们很乐意听到您的评论如下。信息安全的主要挑战是什么?

原文:https://bizzdesign.com/blog/information-security-in-the-boardroom/

本文:http://pub.intelligentx.net/enterprise-security-architecture-information-security-boardroom

讨论:加入知识星球【首席架构师圈】