信不信由你，今天是十月的最后一周国家网络安全意识月(NCSAM)。我们希望你不仅学会了一些网上安全的知识，而且在家庭和工作中采取行动做出更好的安全选择。

第五周的NCSAM主题是“来自网络威胁的关键基础设施”所以我们想分享一下CIO的一些见解，伊恩•皮特从最初的网络安全方案到网络安全政策的制定和实施，最后是CIO和网络安全的未BOB体育输的钱还能要回来吗来。

全面解决网络安全问题

谈到网络安全问题时，首席信息官需要谨慎地做出重大声明、实施变革，以及永远改变公司的格局，因为这些变化并不总是朝着更好的方向发展。一个组织只有在文化、预算、风险、范围和意愿都满足并一致的情况下，才能采用有效且成功的网络安全方案。如果缺少这些元素中的任何一个，CIO将无法有效地改变组织的安全立场。

因此，在CIO任职的早期，他们应该全面了解当前的情况，过去做了什么——包括成功和失败，以及组织的风险概况和偏好。安全对于所有公司都是至关重要的，但是这种方法不可避免地与组织面临的风险相关。最后，高管和董事会支持该计划至关重要。没有组织各部门的支持，任何政策都将难以蓬勃发展，或产生最好的结果。

采取网络安全政策

任何网络安全政策的基础都应该是理解人们的行为变化。一个只专注于实现策略的技术的CIO注定要失败。重要的是，他们要考虑到用户群体的培训和准备情况，以完善一个真正安全的环境。

策略的每个元素都应该建立在这样的基础之上:用户希望获得安全，并且他们知道要关注什么。最好的防御可以通过社会工程攻击可以轻易解除和一旦基础(防火墙、密码策略、访问控制等),CIO通常可以得到一个很好的回报确保用户是精通他们的角色作为防御的第一个和最后一个行。

政策一旦形成，就应该协同实施，并且要有高水平的教育和解释。对于公司安全立场的突然变化有两种可能的反应:采用和支持的浪潮，或者来自用户群的灾难性的延迟和生产力的损失。如果用户突然发现自己无能为力，或者“这家公司”被视为颠覆性的或令人窒息的，后者将不可避免地发生。为了实现第一个响应，用户需要接受教育，以便他们理解为什么更改是必要的，并且策略需要自上而下的支持。

一项结构完善的网络安全政策必须包括管理层制定的连贯计划;明确、相关、简明地说明谁应该采用这些政策，以及为什么要实施这些政策;基本卫生元素;以及定期进行微调的监视和警报工具。重要的是要定期审查政策，让员工保持敏锐并持续接受培训。

领先一步

在不断变化的网络安全文化中，首席信息官很难始终领先于威胁。然而，网络和沟通是CIO在威胁到来之前进入公司的两种最简单的方式。通过理解计划中的业务变更，并在必要时推动这些变更，CIO可以极大地帮助组BOB体育输的钱还能要回来吗织适应不断变化的威胁环境。此外，CIO不应该害怕从组织外部寻求建议。应该定期咨询同行和专业组织，以扩大对不断演变的威胁的理解。利用这些知识调整政策、流程和教育，将大大有助于成功地解决网络安全问题。

展望未来……CIO和网络安全的未来

在安全领域，观察水晶球并不总是有效的，但在宏观层面上，首席信息官可以预见网络安全军备竞赛中的一些变化。从技术角度来看，机器学习将极大地帮助检测和缓解威胁。许多公司努力应对的一个领域是跟上无止境的信息流，过滤虚假信息，让安全团队专注于真正的威胁。此外，在一个组织中，“影子IT”工具的使用也在不断增加。这将受到技术、软件即服务(SaaS)产品不断商品化的推动，这些产品在未经过安全团队审核的情况下就推出了，以及移动设备。因此，首席信息官们将被迫与用户保持非常密切的关系，并培养合作精神。

无论采用何种技术，不太可能改变的是，人们永远是第一道和最后一道防线的概念，这应该是任何cio在接近网络安全时首先考虑的问题。

Ian Pitt是LogMeIn的首席信息官，负责全球公司的网络安全、治理、企业IT和业务系统。BOB体育输的钱还能要回来吗