“防御線”模型的視角來思考網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)力是很重要的。如果您是執(zhí)行第一道防線(1LOD)的領(lǐng)導(dǎo)者，那么您的工作就是正確而及時(shí)地執(zhí)行控制活動(dòng)(流程和技術(shù))，以確保您的組織得到適當(dāng)?shù)谋Ｗo(hù)。然而，如果您的工作在第二道防線(2LOD)中，那么您需要確保您已經(jīng)與決策者充分溝通了與各種操作(和缺乏操作)相關(guān)的風(fēng)險(xiǎn)，以便他們能夠做出明智的決策。

由于大多數(shù)網(wǎng)絡(luò)安全組織發(fā)現(xiàn)自己處于所謂的“1.5道防線”(1.5 line of defense)中，這種明確性常常被混淆。它們操作一些控制:數(shù)據(jù)丟失預(yù)防(DLP)、端點(diǎn)檢測、保護(hù)和響應(yīng)(EDPR)、入侵檢測和事件管理。然而，他們還經(jīng)常負(fù)責(zé)評審配置和補(bǔ)丁，以及涉及應(yīng)用程序、基礎(chǔ)設(shè)施和第三方組織的特性和功能，并就其中好的、壞的和不好的方面提供建議。

作為一個(gè)有效的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者，同時(shí)在1.5防線上工作，就是要最大化兩個(gè)截然不同但又相互對立的原則。首先，你必須管理網(wǎng)絡(luò)安全業(yè)務(wù)，就像你可以百分之百，絕對保護(hù)組織免受任何可能發(fā)生的壞事。這些組織的工作人員需要知道，他們有能力防止攻擊的發(fā)生，并能在他們的追蹤下抓住肇事者。他們需要知道你將投資于他們，他們的培訓(xùn)，他們的能力，以確保他們可以保護(hù)組織。

與此同時(shí)，你必須知道，在足夠長的時(shí)間內(nèi)，每個(gè)人都會(huì)失敗。組織中的人或業(yè)務(wù)伙伴會(huì)犯錯(cuò)誤。你將無法獲得所有資源和技術(shù)的資金，你需要安裝最好的防御。你可能會(huì)被一個(gè)人攻擊，他有能力擊潰你的防御，盡管所有的努力都是相反的。最后，威脅和脆弱性景觀經(jīng)常發(fā)生變化，以至于你的防御系統(tǒng)中可能隱藏著一些漏洞，直到為時(shí)已晚時(shí)才會(huì)暴露出來。

成為一名有效的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者意味著幫助你的員工避免因無法獲得所需的員工數(shù)量、新項(xiàng)目的資金，或者更糟的是，在不可避免的情況下遭遇數(shù)據(jù)泄露而產(chǎn)生的倦怠、內(nèi)疚感和沮喪。為了有效地領(lǐng)導(dǎo)，作為一個(gè)領(lǐng)導(dǎo)者，您需要采用這樣的原則:確保做出明智的決策，并對剩余風(fēng)險(xiǎn)進(jìn)行考慮和治理。業(yè)務(wù)不需要投資在每個(gè)安全解決方案(事實(shí)上,這樣做可能妨礙他們有效地經(jīng)營)的能力,只要你有適當(dāng)了解利益相關(guān)者的壞的結(jié)果可以通過來自不選擇更安全的選擇,并且讓他們接受相關(guān)的風(fēng)險(xiǎn)與這樣的壞結(jié)果。

接受風(fēng)險(xiǎn)是網(wǎng)絡(luò)安全主管的“免費(fèi)出獄”牌——不是以“我早就告訴過你”的方式，而是以一種合作的方式，幫助企業(yè)將你視為合作伙伴，而不是障礙，網(wǎng)絡(luò)安全員工感到他們的擔(dān)憂似乎得到了解決。

注：來源于ISACA 作者 Jack Freund我們對文中觀點(diǎn)保持中立，只以信息傳播為目的，文章版權(quán)歸原作者所有。