然而并非所有人都了解應該如何面對這些風險，以及其對組織機構的影響。在當今的全球商業環境中，CEO以及董事會的成員們需要全面的了解正在發生的事情，以及為什么需要正確理解和應對潛在風險。如果沒有深入的理解，風險分析和由此制定的決策可能會存在缺陷，導致組織機構承擔超出預期的風險。

在評估了當前的威脅形勢以后，CEO 們應特別關注4個主要的信息安全領域，并且要在日常運營中熟悉這些領域。

一、風險管理

網絡空間日漸成為吸引犯罪分子，激進分子和恐怖分子的狩獵場所。他們想要賺錢，獲得關注，制造混亂甚至通過網絡攻擊打到企業和政府。在過去幾年里，我們看到網絡犯罪分子們開展了更高程度的合作，以及更高水平的技術能力，使得許多大型組織機構措手不及。

CEO必須做好面對不可預測的事情的準備，這樣他們才有能力承受意外的，高影響力事件。網絡犯罪和一些網絡活動(黑客主義)的增加，合規成本的增加，以及在安全部門投資不足的背景下，黑客技術還在不斷進步，都將為企業帶來重重危機。能夠明確關鍵業務的組織機構才能夠更好的量化業務案例，投資抵御項目，從而最大限度地減少不可預測事件帶來的影響。

二、避免企業信譽受損

攻擊者變得更有組織性，攻擊也變得越來越復雜，所有的威脅都變得更加危險，這一切都為企業信譽帶來了更多風險。此外，在供應商、客戶和合作伙伴中的品牌信譽和動態信任，愈發成為網絡犯罪分子和激進黑客的目標。面對瞬息萬變的威脅形勢，我們常常看到企業落后，有時候在信譽和資產損失以后才醒悟。

CEO們需要確保他們已經做好充分準備，面對不斷出現的挑戰，讓他們的組織機構更好地應對企業信譽攻擊。這似乎顯而易見，但是你對這些企業信譽攻擊的反應越快，你得到的結果就會越好。

三、保護供應鏈安全

在尋找那些可能造成信息安全漏洞的關鍵領域時，要關注供應鏈。供應鏈是當今全球經濟的支柱，企業也越來越關注如何管理主要供應鏈中斷問題。所以CEO們應該關注其供應鏈暴露于多重風險的程度。企業必須將注意力放在其供應鏈最薄弱的部分。在當今復雜的全球市場環境下，不幸的是并不是所有的網絡攻擊都能夠提前進行預防。

積極主動意味著你和你的供應商能夠在事情發生時做出更快，更明智的響應。在一些極端情況下，這種準備和彈性可能對競爭力，財務狀況，股價甚至企業的生存起到決定性作用。

四、員工意識和內在行為

組織機構在持續加大對 “開發人力資本” 的投資。如果沒有陳述其企業價值，任何CEO的演講或者年度報告都不能說的上完整。這背后隱含的意思是員工意識和安全意識培訓總能帶來無需證明的價值——員工滿意度已經可以了。現在已經不是這樣了。今天的CEO們經常要求對他們需要進行選擇的項目進行投資回報預測，而有關員工意識和培訓的項目也不例外。評估和展示這些培訓的價值成為企業的當務之急。然而現在沒有固定的流程和方法能夠證明培訓給員工帶來了信息安全行為上的變化，因為組織機構的人員結構，以往的經驗，成就和目標千差萬別。

很多組織機構在開展符合 “提高安全意識” 這一主旨的活動，但是真正的商業驅動力應該來自風險以及如何通過新的行為減少這些風險。

現在正是時候，將重點從提高安全意識轉向實際行動中。CEO對網絡更加精通，監管機構和利益相關者在不斷推動進行更有力的監管，尤其是在風險管理領域。行為層面上的改變，能夠幫助首席信息安全官(CISO)在面對CEO和其他高級管理人員提出相關問題時，提供滿意的答案。

領先于可能出現的安全困境

各種形態和規模的組織機構都在日益網絡化的世界中運轉，傳統的風險管理模式不夠靈活，已經不足以抵御來自網絡活動的風險。企業必須優化風險管理來創建風險彈性，建立在準備的基礎上，從業務可接受性和風險分析的角度評估威脅因素。

面對不斷升級的安全威脅和瞬息萬變的威脅形勢，組織機構有不同的控制方案，但是我常常看到企業落后，有時候在信譽和資產損失以后才醒悟。CEO們需要帶領大家，評估當前狀況，確保自己所在的組織機構已經準備好應對這些不斷出現的挑戰。