人們很容易迷失在網(wǎng)絡(luò)安全的技術(shù)世界中——信息技術(shù)業(yè)務(wù)依賴于大量的縮寫詞、技術(shù)用語和特定功能的術(shù)語。在應(yīng)對網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險狀況時，外行希望聽到很多有關(guān)技術(shù)驅(qū)動的解決方案的信息。事實上，我們花費了大量時間來審查、評估和選擇特定的解決方案以納入整體安全框架。

依賴這些解決方案而不解決人為因素的首席信息安全官錯過了任何網(wǎng)絡(luò)合規(guī)計劃中最重要的要素。只是為了說明另一個對顯而易見的深刻理解——人類/員工負責(zé)執(zhí)行業(yè)務(wù)職能，最終，網(wǎng)絡(luò)合規(guī)計劃必須納入強大的以人為本的控制。

這聽起來像是很多胡言亂語。讓我試著把這件事歸結(jié)起來。人類必須設(shè)計和實施以網(wǎng)絡(luò)為中心的控制措施。人們必須就這些控制措施進行溝通，以確保每個人都遵守特定的協(xié)議。網(wǎng)絡(luò)安全專業(yè)人員表現(xiàn)出強大的人際交往能力，盡管他們在高技術(shù)領(lǐng)域工作。

網(wǎng)絡(luò)安全合規(guī)計劃的成功取決于人。安全能力和功能融入人的“因素”的程度越高，成功的機會就越大。最終，人員推動安全成功和長期績效。 

安全系統(tǒng)的設(shè)計必須通過教育員工了解安全控制、識別潛在異常、對潛在威脅做出適當(dāng)響應(yīng)以及根據(jù)現(xiàn)有控制進行操作來提高員工績效。安全控制在紙面上可能看起來不錯，但它們在現(xiàn)實世界中的實施和遵循方式?jīng)Q定了安全風(fēng)險管理計劃的整體功效。

員工不僅要了解安全意識，還要了解安全意識。事實上，他們需要了解安全控制、控制背后的目的以及實施和遵循此類控制的方式。CISO 應(yīng)始終檢查過去的網(wǎng)絡(luò)安全事件，以尋找根本原因、控制效力和員工行為。 

網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者往往專注于技術(shù)解決方案，而沒有適當(dāng)考慮人的因素——作為第一步，首席信息安全官需要管理技術(shù)和人才，以最大限度地提高能力——技術(shù)和人際交往能力。一個關(guān)鍵來源可能是內(nèi)部技術(shù)團隊，可以從中識別有才能的個人來開展職業(yè)發(fā)展計劃。

隨著網(wǎng)絡(luò)安全和技術(shù)在組織內(nèi)的重要性日益增強，越來越多的員工將在各自工作中履行技術(shù)職能。網(wǎng)絡(luò)安全必須圍繞公司的運作方式構(gòu)建——這意味著網(wǎng)絡(luò)安全控制必須根據(jù)組織的工作流程和人員組織進行定制。

通過這種集成方法，CISO 可以開發(fā)有效的評估實踐，以持續(xù)了解其面臨的威脅。這是公司進行有效安全投資的關(guān)鍵要求。在這一領(lǐng)域，CISO 必須使用網(wǎng)絡(luò)安全驗證來檢查如何使用技術(shù)、流程和工具來驗證潛在黑客如何利用特定威脅。通過整合強大的驗證協(xié)議，CISO 可以實施可重復(fù)的評估、制定基準并通過適當(dāng)?shù)陌踩刂七M行響應(yīng)。大多數(shù)公司正在轉(zhuǎn)向網(wǎng)絡(luò)安全平臺，就像其他風(fēng)險管理工具一樣，以鞏固網(wǎng)絡(luò)安全功能，例如治理、特權(quán)訪問和其他訪問管理功能。

任何網(wǎng)絡(luò)安全合規(guī)計劃的一個關(guān)鍵組成部分是董事會的參與和監(jiān)督。很多時候，公司董事會未能參與和了解網(wǎng)絡(luò)安全，而是在很大程度上服從 CISO。通過避免學(xué)習(xí)曲線，董事會因董事會監(jiān)督和監(jiān)控失敗而產(chǎn)生額外風(fēng)險，從而使公司面臨風(fēng)險。越來越多的董事會正在聘請具有網(wǎng)絡(luò)安全專業(yè)知識的董事會成員。這是一個值得歡迎的發(fā)展。