我们探讨了谁应该负责这个日益重要的领域的选择

确保网络安全弹性是现代组织在当今世界必须解决的最繁重的任务之一，这已不是什么秘密。它可以说是最重要的：由于这些灾难性的罚款 - 例如GDPR抛出的罚款 -被发布用于安全弊端，企业再也不能将网络安全视为事后的想法。

不幸的是，即使企业认为他们正在采取一切必要措施来保护自己和他们所拥有的数据，但有时还不足以让坏人离开。根据英国政府最新的网络安全漏洞调查，32%的企业在过去12个月内遭遇数据泄露或网络攻击，而这一数字与前几年相比有所下降 - 这表明安全性仍然必须更加严肃。

如果人们的数据和严重罚款的威胁不够，那么安全事件的成本也会上升。受2017年网络事件影响的企业平均支付了2,450英镑，而两年后，这已经上升到4,180英镑。

英国数据泄露与财务影响

因此，赌注很高，压力很大，但是在制定强有力的网络安全策略时，应该向谁求助的问题有时在企业中无法解决。这项任务可能属于组织中一系列人员的职权范围 - 首席技术官，公民社会组织，首席信息安全官，首席执行官和IT团队可被视为第一个停靠港口，重要的是要确定应该是谁。无论是检查您现有的策略是否已经开始实施，或者是第一次实施策略，请转向。

责任问题

在完成领导和运营职责以及董事会的角色之前，您无法开始制定网络安全战略。

责任地图在某种程度上取决于组织的性质，包括其规模，是单一还是多地点，以及其技术设置的性质。仅仅说首席技术官(CTO)领导实施并且首席执行官承担领导责任是不够的。现实更加微妙。

如果有首席信息安全官(CISO)，他们应该带头。阿尔斯特大学网络安全教授，IEEE专业机构高级成员Kevin Curran对此非常重视，告诉IT专业人员：“这就是他们受雇的原因。当然，他们了解业务需求至关重要，以及组织的技术需求，但他们应该是具备必要知识的人，以确定风险领域并将资源推向这些领域。“

然而，并非每个组织都有CISO，在这种情况下，定义填补空白的角色非常重要。这可能是IT团队的领导者，或者在有单独的数据安全团队的情况下，领导者。重要的是，这个人的资历足以拥有真正的权力来做出决策，实施决策，并能够在董事会的高级条款上发言。

分担负载

无论技术团队中的主要运营责任在哪里，确保从组织的其他部门获得支持至关重要。行业机构techUK的计划负责人Talal Rajab表示，其他需要参与的团队包括“沟通团队 - 内部和外部沟通 - 以及其他高级领导人员”。

在最好的情况下，每个部门负责人和每个主管级别的持有人都应该在某种程度上参与其中。当然，他们不会都拥有技术技能。他们的角色将侧重于保持政策和流程对他们的团队实用，提高意识和确保买入。

如果一个组织选择分担网络安全战略的责任，那么制定一个铁质的沟通战略也很重要，以确保所涉及的每个人都了解此事，并确保在最糟糕的情况下采取行动。

以马斯克经常被引用的例子为例，在该公司受到严厉打击之后 - 就像一把大锤一样的牙签 - 在2017年被野蛮的NotPetya蠕虫所摧毁，它被简化为创造性的沟通策略。这是一个最糟糕的情况，但是最小的企业仍然需要注意这一教训。在无法选择正常通信渠道的情况下，实施故障安全策略，以便参与组织网络安全的每个人都可以发出和接收命令，确保在网络攻击后快速恢复系统。

董事会的作用

通过网络安全战略，领导力必须从高层来看，也就是董事会。正如Rajab所说：“将网络安全降级到IT部门的日子早已不复存在。为了煽动有意义的长期变革，需要将其视为企业风险，因此需要董事会控制局面“。

“董事会的所有成员都应该对网络安全进行自我教育，因为他们最终会对此负责。所有成员都需要定期更新公司的网络状况，同意投资并确保流程到位。如果这一切都留给了一位董事会成员，存在可能错过或忽视问题的危险。这是关于发展公司范围内的文化，“他补充道。

准备休息

明确实施和领导的责任应该能够实施强有力的网络安全战略，并在整个组织内获得支持。这样，它就不会被视为由IT团队“完成”和组织的事情，而是“为组织，组织和组织”完成的事情。这种方法将帮助它从一开