最近CEO们收到了鼓励他们思考信息与网络安全风险的信息和报告。
　　然而并非所有人都了解应该如何面对这些风险，以及其对组织机构的影响。在当今的全球商业环境中，CEO以及董事会的成员们需要全面的了解正在发生的事情，以及为什么需要正确理解和应对潜在风险。如果没有深入的理解，风险分析和由此制定的决策可能会存在缺陷，导致组织机构承担超出预期的风险。

　　在评估了当前的威胁形势以后，CEO 们应特别关注4个主要的信息安全领域，并且要在日常运营中熟悉这些领域。

　　一、风险管理

　　网络空间日渐成为吸引犯罪分子，激进分子和恐怖分子的狩猎场所。他们想要赚钱，获得关注，制造混乱甚至通过网络攻击打到企业和政府。在过去几年里，我们看到网络犯罪分子们开展了更高程度的合作，以及更高水平的技术能力，使得许多大型组织机构措手不及。

　　CEO必须做好面对不可预测的事情的准备，这样他们才有能力承受意外的，高影响力事件。网络犯罪和一些网络活动(黑客主义)的增加，合规成本的增加，以及在安全部门投资不足的背景下，黑客技术还在不断进步，都将为企业带来重重危机。能够明确关键业务的组织机构才能够更好的量化业务案例，投资抵御项目，从而最大限度地减少不可预测事件带来的影响。

　　二、避免企业信誉受损

　　攻击者变得更有组织性，攻击也变得越来越复杂，所有的威胁都变得更加危险，这一切都为企业信誉带来了更多风险。此外，在供应商、客户和合作伙伴中的品牌信誉和动态信任，愈发成为网络犯罪分子和激进黑客的目标。面对瞬息万变的威胁形势，我们常常看到企业落后，有时候在信誉和资产损失以后才醒悟。

　　CEO们需要确保他们已经做好充分准备，面对不断出现的挑战，让他们的组织机构更好地应对企业信誉攻击。这似乎显而易见，但是你对这些企业信誉攻击的反应越快，你得到的结果就会越好。

　　三、保护供应链安全

　　在寻找那些可能造成信息安全漏洞的关键领域时，要关注供应链。供应链是当今全球经济的支柱，企业也越来越关注如何管理主要供应链中断问题。所以CEO们应该关注其供应链暴露于多重风险的程度。企业必须将注意力放在其供应链最薄弱的部分。在当今复杂的全球市场环境下，不幸的是并不是所有的网络攻击都能够提前进行预防。

　　积极主动意味着你和你的供应商能够在事情发生时做出更快，更明智的响应。在一些极端情况下，这种准备和弹性可能对竞争力，财务状况，股价甚至企业的生存起到决定性作用。

　　四、员工意识和内在行为

　　组织机构在持续加大对 “开发人力资本” 的投资。如果没有陈述其企业价值，任何CEO的演讲或者年度报告都不能说的上完整。这背后隐含的意思是员工意识和安全意识培训总能带来无需证明的价值——员工满意度已经可以了。现在已经不是这样了。今天的CEO们经常要求对他们需要进行选择的项目进行投资回报预测，而有关员工意识和培训的项目也不例外。评估和展示这些培训的价值成为企业的当务之急。然而现在没有固定的流程和方法能够证明培训给员工带来了信息安全行为上的变化，因为组织机构的人员结构，以往的经验，成就和目标千差万别。

　　很多组织机构在开展符合 “提高安全意识” 这一主旨的活动，但是真正的商业驱动力应该来自风险以及如何通过新的行为减少这些风险。

　　现在正是时候，将重点从提高安全意识转向实际行动中。CEO对网络更加精通，监管机构和利益相关者在不断推动进行更有力的监管，尤其是在风险管理领域。行为层面上的改变，能够帮助首席信息安全官(CISO)在面对CEO和其他高级管理人员提出相关问题时，提供满意的答案。

　　领先于可能出现的安全困境

　　各种形态和规模的组织机构都在日益网络化的世界中运转，传统的风险管理模式不够灵活，已经不足以抵御来自网络活动的风险。企业必须优化风险管理来创建风险弹性，建立在准备的基础上，从业务可接受性和风险分析的角度评估威胁因素。

　　面对不断升级的安全威胁和瞬息万变的威胁形势，组织机构有不同的控制方案，但是我常常看到企业落后，有时候在信誉和资产损失以后才醒悟。CEO们需要带领大家，评估当前状况，确保自己所在的组织机构已经准备好应对这些不断出现的挑战。