“防御线”模型的视角来思考网络安全领域的领导力是很重要的。如果您是执行第一道防线(1LOD)的领导者,那么您的工作就是正确而及时地执行控制活动(流程和技术),以确保您的组织得到适当的保护。然而,如果您的工作在第二道防线(2LOD)中,那么您需要确保您已经与决策者充分沟通了与各种操作(和缺乏操作)相关的风险,以便他们能够做出明智的决策。
由于大多数网络安全组织发现自己处于所谓的“1.5道防线”(1.5 line of defense)中,这种明确性常常被混淆。它们操作一些控制:数据丢失预防(DLP)、端点检测、保护和响应(EDPR)、入侵检测和事件管理。然而,他们还经常负责评审配置和补丁,以及涉及应用程序、基础设施和第三方组织的特性和功能,并就其中好的、坏的和不好的方面提供建议。
作为一个有效的网络安全领导者,同时在1.5防线上工作,就是要最大化两个截然不同但又相互对立的原则。首先,你必须管理网络安全业务,就像你可以百分之百,绝对保护组织免受任何可能发生的坏事。这些组织的工作人员需要知道,他们有能力防止攻击的发生,并能在他们的追踪下抓住肇事者。他们需要知道你将投资于他们,他们的培训,他们的能力,以确保他们可以保护组织。
与此同时,你必须知道,在足够长的时间内,每个人都会失败。组织中的人或业务伙伴会犯错误。你将无法获得所有资源和技术的资金,你需要安装最好的防御。你可能会被一个人攻击,他有能力击溃你的防御,尽管所有的努力都是相反的。最后,威胁和脆弱性景观经常发生变化,以至于你的防御系统中可能隐藏着一些漏洞,直到为时已晚时才会暴露出来。
成为一名有效的网络安全领导者意味着帮助你的员工避免因无法获得所需的员工数量、新项目的资金,或者更糟的是,在不可避免的情况下遭遇数据泄露而产生的倦怠、内疚感和沮丧。为了有效地领导,作为一个领导者,您需要采用这样的原则:确保做出明智的决策,并对剩余风险进行考虑和治理。业务不需要投资在每个安全解决方案(事实上,这样做可能妨碍他们有效地经营)的能力,只要你有适当了解利益相关者的坏的结果可以通过来自不选择更安全的选择,并且让他们接受相关的风险与这样的坏结果。
接受风险是网络安全主管的“免费出狱”牌——不是以“我早就告诉过你”的方式,而是以一种合作的方式,帮助企业将你视为合作伙伴,而不是障碍,网络安全员工感到他们的担忧似乎得到了解决。
注:来源于ISACA Jack Freund