转型安全战略的关键要素

关键要点

在实现转型安全战略时，整个组织的赋能至关重要，必须获得支持并明确各自的责任，即使有清晰的路线图，才能确保成功。Karla Clarke，Tandem Diabetes Care 的网络安全总监，在周一的RSA会议上分享了这一观点。

目标应该被明确书写，并按时间框架分解成一页纸的内容，向领导层详细展示关键任务、可交付成果、潜在风险及任何可能阻碍项目成功的依赖关系。

点击这里查看所有来自RSAC的报道。

Clarke表示：“你需要将路线图上的每一项都转化成一张详细的行动计划：这就是游戏计划。”

但必须用商业战略的语言来呈现，使组织能够理解。

开始安全转型前，了解潜在问题

计划应包括三个明确的部分：过去、现在和未来。正如医疗保健中多次强调的，过程必须从内部或外部评估开始或两者结合以确定组织的当前状态，重点关注当前的弱点及正在进行的举措。

在进行评估时，“执行一个及时的风险分析极为关键，以识别出风险因素、弱点：当前世界上发生的事情可能对业务运营构成威胁或造成阻碍，”她补充道。

在评估期间，领导者只需观察当前状态，“不必进行更改”，而是“消化信息，致力于理解”组织的现状。可能需要承认安全计划或架构中存在的缺失。

“这没关系。你必须知道自己的问题在哪儿才能开始，”Clarke说。“没有任何可开始的内容并不是世界末日。至少现在清楚了什么是重塑战略的先决条件。”

将组织需求与安全框架匹配

评估还应包括识别一个与组织需求相符的安全框架。她解释说：“安全框架并不是千篇一律的。选择一个适合你的，并以此作为基准，识别你的现状，然后开始收集相关文档并与基准对比，找到差距。”

“要清楚理智，客观地回答企业缺少什么，框架中提到组织应该具备的元素。”

最后，确定网络中每个元素由哪个部门或员工负责，因为“如果你不知道谁负责，你将无法进行任何更改，”她补充道。

对于那些作为“单人安全”团队运营的组织，Clarke建议使用外部评估机制。过程大致相同，但“重担由他人承担”的方式有所不同。

制定未来的安全战略

这些见解可以与项目管理结合，确定组织的现状，理解公司年度目标及当前项目，她补充道。安全领导者可以制定战略，但需要与企业正在进行的措施相一致。

安全领导者应考虑他们所识别出的内容，以及在支持性安全举措上可以如何帮助，以创建一个安全、协调的年度目标。Clarke强调，这种一致性对有效性至关重要，构建文化以确保“安全目标作为IT流程和程序的一部分得以实施”。

最后，构建一个将所有评估、风险理解和已知差距综合到一起的未来计划，形成一个路线图，以制定在组织内部需要完成的战略，包括确定优先事项。