完善网络安全部门制度，释放首席信息安全官(CISO)权力。

网络威胁与安全之间的竞争正在加快。目前全球网络攻击增长38%，去年增长48%。随着网络攻击的增加，组织需要尽最大努力应对这些更常见的网络威胁带来的日益严峻的挑战。当然，一个明显的解决方案是招募具有必要网络安全技能的人来抵御这些威胁。

然而，许多企业也在应对更广泛的网络安全技能差距，这使得这种潜在的应对日益增长的网络风险的解决方案陷入了死胡同，尤其是对于那些没有足够预算和投资来打败其他竞争对手并招聘最优秀人才的企业。

如果招募新人才来应对这些不断变化的威胁不是一个可行的选择，那么什么是呢？首先，我们应该意识到，网络安全最佳实践的作用和责任已经发生了变化。

超越网络技能差距障碍障碍。

过去，网络安全是一项特定的工作功能。如今，它已经发展成为一个问题，只能通过将网络安全责任整合到整个组织的直线职能和员工职能中来解决。

如果把这个想法应用到电力行业，就会画出一幅令人担忧的画面。十年前，电网运营商的高管主要是工程师。他们对电网技术和运营有透彻的了解，对潜在的网络风险和威胁有一定的了解。但也要注意，这主要是运营技术信息技术而非信息技术（IT），所以从安全的角度来看，对两者如何互动的理解还处于比较不成熟的阶段。

但是现在，由于能源转型给电网运营商带来了变革管理和财务挑战，电网运营商的高级员工主要有咨询或财务背景。

虽然这可能从财务审慎的商业角度来理解，但也带来了网络安全的挑战。到目前为止，针对这一问题的广泛选择的解决方案是建立首席信息安全官(CISO)角色，并将网络安全责任委托给CISO。但是，作为一种独立的解决方案，这已经越来越不够了。

因此，整个企业的所有员工都有责任在反网络战争的第一线尽自己的一份力量。随着网络威胁形势的发展，包括网络黑客在内的日常技术中可以使用的接触点呈指数级增长，这一点现在比以往任何时候都更加重要。

建立问责制并赋予首席信息安全官(CISO)权力。

面对能源市场不断存在的技能差距和监管限制，为了使网络安全战略与时俱进，证明技能投资回报的合理性可能具有挑战性，现在有两个方面非常重要。

首先，网络安全责任和问责制必须跨组织任命，必要时必须提供外部第三方支持。其次，必须授权安全专家独立开发，并向决策者提供意见，甚至在必要时阻止影响网络安全的决策，最大限度地审查其网络安全决策，以确保最佳实践。

尽管乌克兰网络技术的影响仍然有限，但它已经发展成为一种战争武器，电网运营商已经卷入战争。国家对知识和技能开发的投资显然不能与电网运营商相提并论，但尽管如此，他们仍将面临攻击。

为了创造应对这些攻击的复杂性和规模所需的知识和技能，需要建立和维持这种知识和技能水平的新的合作方法。运营团队负责风险分析在其职责范围内。

具体来说，责任和决策权限应该明确。对于每项工作功能，应确定专门的安全知识和技能要求，并在明确实用的培训和发展计划中解决。

网络安全网络（ENCS），为了反映应对现代网络威胁的整体方法，已经确定了对运营职能、员工职能和管理职能的需求，并为电网运营商开发了专门的培训组合。还可以看到其他关键基础设施部门对此类培训的需求，包括天然气、水和运输。在知识和技能建设过程中，OT网络安全专家不一定对安全负责，但需要充分授权。

如果员工岗位上的网络安全专家被指派负责某些安全职能，他们仍然没有与高级管理层同事相同的决策权或预算；他们不能让事情发生，不能激励自己想要的行为，也不能最终创造所需的变化规模。

因此，除非他们获得许可，否则他们可能会看到许多有良好意图的同事感到沮丧，并寻找其他机会，尤其是在电力部门，他们会对网络安全专家的保留产生连锁反应。相反，我们需要为OT专家提供类似IT安全专家的职业道路和激励措施，包括财务激励。

充分发挥专业知识，留住网络安全专业人才。

虽然雇主在招聘顶级网络安全人才方面存在竞争，特别是对很多电网运营商来说，但是总有办法灵活地适应日益增长的威胁。但是，除了电网运营商本身，无论是单独的还是像ENCS这样的成员组织，都必须注意监管的变化，公共事业必须继续施加压力。同时，这并没有降低他们通过更集体、更合作的方式和增强现有人才的能力，尽一切努力改善现有安全的重要性和紧迫性。

标签：网络安全,网络安全威胁,网络安全人才,电网网络安全