“防御線”模型的視角來思考網絡安全領域的領導力是很重要的。如果您是執行第一道防線(1LOD)的領導者，那么您的工作就是正確而及時地執行控制活動(流程和技術)，以確保您的組織得到適當的保護。然而，如果您的工作在第二道防線(2LOD)中，那么您需要確保您已經與決策者充分溝通了與各種操作(和缺乏操作)相關的風險，以便他們能夠做出明智的決策。

由于大多數網絡安全組織發現自己處于所謂的“1.5道防線”(1.5 line of defense)中，這種明確性常常被混淆。它們操作一些控制:數據丟失預防(DLP)、端點檢測、保護和響應(EDPR)、入侵檢測和事件管理。然而，他們還經常負責評審配置和補丁，以及涉及應用程序、基礎設施和第三方組織的特性和功能，并就其中好的、壞的和不好的方面提供建議。

作為一個有效的網絡安全領導者，同時在1.5防線上工作，就是要最大化兩個截然不同但又相互對立的原則。首先，你必須管理網絡安全業務，就像你可以百分之百，絕對保護組織免受任何可能發生的壞事。這些組織的工作人員需要知道，他們有能力防止攻擊的發生，并能在他們的追蹤下抓住肇事者。他們需要知道你將投資于他們，他們的培訓，他們的能力，以確保他們可以保護組織。

與此同時，你必須知道，在足夠長的時間內，每個人都會失敗。組織中的人或業務伙伴會犯錯誤。你將無法獲得所有資源和技術的資金，你需要安裝最好的防御。你可能會被一個人攻擊，他有能力擊潰你的防御，盡管所有的努力都是相反的。最后，威脅和脆弱性景觀經常發生變化，以至于你的防御系統中可能隱藏著一些漏洞，直到為時已晚時才會暴露出來。

成為一名有效的網絡安全領導者意味著幫助你的員工避免因無法獲得所需的員工數量、新項目的資金，或者更糟的是，在不可避免的情況下遭遇數據泄露而產生的倦怠、內疚感和沮喪。為了有效地領導，作為一個領導者，您需要采用這樣的原則:確保做出明智的決策，并對剩余風險進行考慮和治理。業務不需要投資在每個安全解決方案(事實上,這樣做可能妨礙他們有效地經營)的能力,只要你有適當了解利益相關者的壞的結果可以通過來自不選擇更安全的選擇,并且讓他們接受相關的風險與這樣的壞結果。

接受風險是網絡安全主管的“免費出獄”牌——不是以“我早就告訴過你”的方式，而是以一種合作的方式，幫助企業將你視為合作伙伴，而不是障礙，網絡安全員工感到他們的擔憂似乎得到了解決。

注：來源于ISACA 作者 Jack Freund我們對文中觀點保持中立，只以信息傳播為目的，文章版權歸原作者所有。