由约翰·Cholewa
从2019年2月的问题
米过去的在面向安全事务(即完成。战术)。身份证有照片,游客处理,警卫之旅,数据进入电子访问系统数据库、报警监控、事件报告,进行调查等。面向事务的活动是必要的组件的安全程序。然而,如果没有重大事件,很容易陷入舒适的常规,认为安全程序平稳运行和有效。
但一个程序可以顺利运行,没有在同一时间。
真正有效,安全项目必须有战术和战略组件。设施经理——历史上好的战术面向事务的元素,因为他们每天都这么做。同时,未能做到正确的结果即时反馈客户投诉的形式。
战略的东西更为困难。它没有可见的企业内,做的不好,或者根本不可能不会导致任何反馈。损失的原因是由于战略失败经常看起来像一个战术失败。发生入室盗窃时,报警系统不检测,是找出为什么报警系统的响应失败并修复它。这是一个战术应对战术失败。
失败的根源,然而,实际上可能是缺乏安全项目的战略组成部分。报警系统故障已经阻止了如果一个合适的验收测试(战略行动)一直在报警系统上执行时,第一次安装吗?它会避免如果有需求测试报警系统经常性(战略行动)后安装?
作为一个实际的例子,而进行脆弱性评估(战略行动)在关键技术设施,保证我公司的设施管理,所有外门都警告和警报监控。作为评估的一部分,我们支持打开外门为了确定响应时间。没有反应。我们发现报警正常工作,但报警监控过程是有缺陷的,闹钟忽视了。战略行动(漏洞评估)确定设施的安全程序的主要差距,并很有可能阻止严重的损失在将来的某个日期。
战略失败是导致安全项目失败不可见。
当战术安全任务不顺利,安全管理是一个难点,甚至为高级管理。虽然可以避免损失的战略方法,它被看作是由高级管理层战术失败。
当风险并不表现为亏损,它导致组织失明的风险。为什么?这是高层管理的本质。高管关注两件事:1)这些东西使他们痛苦,和2)那些获得的机会。安全功能不被视为获得的机会。如果没有安全问题,使高管级别,他们没有经历痛苦。没有疼痛,加没有收获等于没有注意。
默认情况下,安全风险的方法通常忽略风险,直到有一个损失。如何以及为什么发生这种情况是可以理解的,但这不是一个负责任的商业策略。高级管理层负责保护组织的资产。这意味着确保有一个完整的、有效的安全功能,战术和战略组件。
战略安全方法确保了文化和方法有利于保护的资产。它可以防止或减少损失的影响,推动更有效和高效的程序。战略安全程序的特定元素可以从一个组织到另一个基于不同类型的业务,但一些常见元素是所有组织。
威胁/风险评估。开发一个有效的安全计划的能力是依赖于有一个清晰而准确的理解,组织面临的威胁和风险,并跟上威胁/风险环境的变化。如果一个组织所面临的威胁和风险不清晰、准确的理解,是不可能安全计划的定制来缓解。
至关重要的资产。如果安全函数是有效的和有效的组织资产的保护,它需要知道哪些资产是最重要的。没有这些知识导致的一切被同样的保护。这意味着一些事情会过去保护,这是一种资源浪费,和一些将受到保护,这暴露了更多关键资产不可接受的风险。
指导文件。人们想要做正确的事情,但组织需要告诉他们什么是正确的事情。指导文件(如政策、标准、程序等)执行这个函数。他们提出管理的期望的员工对资产的保护,如何安全标准应用于保护这些资产。
脆弱性评估。一旦员工知道管理的期望和个人负责应用安全知道要做什么和如何,必须有后续的安全功能,以确保一切都按预期。这是漏洞评估的目的。这些评估执行许多功能,如:1)审计,确保安全标准正确应用,2)发现故障安全设备,3)识别差距在安全程序/流程,和4)识别新的或改变威胁/风险。
太容易开发一个严格战术安全program-install卡访问系统,雇佣几个警卫,安装一些摄像头,认为一个有效的程序。需要更多的努力开发一个战略计划,因为战略组件和资源分配必须是不可见的。底线是,高级管理人员需要一个战略方法的其他区域业务;他们还应该采取战略措施保护无形资产或者冒自己的计划失败。
Cholewa是所有者和的主要顾问导师的同事安全咨询公司,专门指导管理组织资源的保护。他拥有马里兰大学的学士学位和一个从中央密歇根大学文学硕士,是安全管理委员会认证,,的作者开发和管理物理安全项目:设施和人力资源经理的指导。
你有一个评论吗?在下面的评论栏中分享你的想法或发送电子邮件到acosgrove@groupc.com的编辑。
