安全管理體系是一個復雜的生態系統，定義了企業的關鍵信息、安全原則、資源和活動（見圖1）。企業機構所構建和運行的安全體系往往難以既對員工實用，又能有效管理快速發展的數字風險。因此，首席信息官（CIO）必須了解并避免陷入誤區，構建強韌的安全體系，應對中國數字業務面臨的網絡安全挑戰。CIO及其安全團隊在構建切實可行的安全體系時，容易陷入四個常見誤區。

這些誤區包括：

• 設定不切實際的目標，希望抵御所有攻擊
• 安全策略引發摩擦的同時并未有效降低風險
• 高層匯報溝通時，傳遞過多未與業務掛鉤的安全技術運營層面的信息
• 采用傳統的中心化方法來支持分布式風險決策，這種方法在應對敏捷數字項目時無法有效擴展

圖1：安全管理體系的組成

誤區1：設定不切實際的目標，希望抵御所有攻擊

在當今的數字化環境和威脅環境中，企業機構要設定一個旨在遏制所有攻擊的安全目標是既不現實，也不合適的。目前不存在完美的防護機制，在多變的業務和風險環境中，企業機構應在防護措施與業務運營需求之間取得平衡。這種平衡需要與業務領導者進行討論和決定，而不是由IT部門單獨決定（見圖2）。

圖2：安全是一種選擇：何為適度風險？

當高管詢問“我們能否達到百分之百安全”時，CIO及其安全團隊應將談話引向對風險的討論。投入大量資金來預防對業務影響較小的安全事件，并不符合成本效益。企業機構應明確可能影響業務戰略目標和績效實現的安全風險，并定義風險控制衡量指標。在業務目標、影響業務成功的安全風險和跟蹤指標之間建立明確聯系，這一點至關重要。

誤區2：安全策略引發摩擦但并未降低安全風險

安全策略的根本目的是通過識別、評估和控制風險，鼓勵促進安全的行為，阻止不利行為。盡管如此，員工可能發現安全團隊獨立制定的一些策略難以遵守，對其角色而言并不合理，并且與其工作目標相沖突。因此，員工會選擇忽略這些策略，繼續采取不安全的行為。

2022年Gartner安全行為驅動因素調研發現，過去12個月中有69%的員工有意繞過企業機構的網絡安全策略。此外，74%的受訪者表示，如果有助于個人或團隊實現業務目標（例如，在即將到來的截止日期前完成任務和/或完成營收目標），則會選擇繞開網絡安全策略。這種對安全策略的漠視產生的原因往往是由于安全因素引發的摩擦阻礙了員工高效開展工作。

為了避免陷入這一誤區，企業應使用基于場景的方法進行測試，確保策略切實可行。在工作人員面對的許多實際場景中測試安全策略，并確定該策略是否為這些場景提供支持或造成妨礙。同時，可以考慮開發用戶手冊，使用通俗易懂的業務語言，而非專業術語來解釋所有這些常見場景的安全要求。最后，發現、理解并解決員工所經歷的摩擦。

誤區3：傳遞的信息無法引起利益相關者的共鳴

安全治理是指確保采取合理、適當的行動，以最有效、最高效的方式保護企業機構的信息資源，以實現其業務目標的流程和能力。由于CEO越來越重視安全事件和違規行為導致的業務損失，媒體的相關報道也越來越多，很多中國大型企業機構已經設立了企業級的安全委員會作為治理機構。

盡管委員會是由來自整個企業的業務和職能部門的高管組成，但安全議程和相關主題的溝通仍主要以合規為導向或以IT為中心。這就無法有效展示安全投資對于業務成果的價值和相關性，無法引起CEO和業務高管的更多共鳴。

為避免這一誤區，CIO及安全團隊應該闡述與業務成果相關的安全風險，不僅限于合規，這將更好地引起CEO和委員會業務成員的共鳴。同時，了解溝通背景，選擇合適的價值溝通方式。

誤區4：采用的中心化風險決策方法無法支持敏捷數字項目

由于業務部門更多地雇傭自己的數字化技術人員，而不是完全依賴企業的IT人員，企業機構的安全和風險決策日益分散。此外，在中國競爭激烈的數字化環境中，企業機構越來越多地采用敏捷或DevOps的全新IT方法，加速數字業務的交付。這反過來也增加了快速做出風險決策的壓力。企業機構如果仍依賴傳統的單一中心化安全團隊來開展風險決策工作，將很難招聘到足夠的安全人才，以應對企業機構內部快速增加的分布式風險決策的數量以及決策速度的要求。此外，分散決策的機會成本很快會超過其增加的價值。

為避免陷入這一誤區，CIO應培養企業所有員工的網絡判斷力，滿足敏捷數字項目風險決策的數量和速度要求，這將大大減少整個企業機構的網絡風險暴露。此外，由于網絡判斷力并不要求安全人員全程參與以做出風險決策，節省下來的安全人力資源可以重新分配，用于更具影響力的網絡安全活動中。