在大多數企業中,首席信息安全官和首席信息官都肩負著網絡安全的責任是很常見的,而這個問題對于任何企業的有效運營越來越重要。明確的網絡安全所有權是企業安全成功定位的不可或缺的一部分。
根據國際信息系統審計協會(ISACA)最近對近3700名全球網絡安全專業人員的一項調查,48%的網絡安全團隊直接向首席信息安全官報告,25%的網絡安全團隊向首席信息官報告。盡管這些在報告中存在差異,但表明首席信息安全官和首席信息官之間在安全職能所有權方面沒有顯著差異,其中涉及網絡攻擊增加或減少的觀點、檢測和響應網絡威脅的能力以及網絡犯罪。
然而,該報告確實發現了與網絡風險評估的執行評估、企業董事會如何優先考慮網絡安全以及戰略調整相關的差異。更重要的是,該報告還指出了一種越來越多的行業慣例,即首席信息安全官向首席信息官以外的任何人報告,尤其是當首席信息安全官的范圍包括治理、風險和合規性、業務連續性/災難恢復、欺詐、信任以及安全或危機管理的時候。
由于企業的規模、部門和監管要求等原因,首席信息官和首席信息安全官對網絡安全問題的責任可能有所不同。盡管如此,隨著網絡安全與更廣泛的業務元素越來越緊密地交織在一起,誰擁有什么類型的網絡安全所有權以及為什么擁有這種權力變得越來越重要。
網絡安全責任:首席信息安全官vs.首席信息官
Lightico公司首席信息官Omri Braun以這種方式總結了大多數首席信息官和首席信息安全官的網絡安全職責之間的區別:“首席信息官更專注于確保使用正確的工具來最大限度地提高效率,以及識別影響企業和不斷尋找機會使用和生產更好的技術。首席信息安全官負責確保主動保護數據安全性和完整性。”
Orange Cyber??defense公司全球首席信息安全官Richard Jones對此表示認同。他說,“通常情況下,首席信息安全官的角色是從運營角度看待安全,保護企業免受網絡威脅。另一方面,首席信息官更側重于通過設計將安全性構建到企業更廣泛的技術堆棧和正在進行的數字化轉型項目中,以提高彈性、提升用戶體驗,并最大限度地提高效率。”
網絡安全架構師Tee Patel表示,就安全投資回報率而言,首席信息官經常被迫采取“黨派路線”,而首席信息安全官通常需要更加獨立,專注于保護業務安全。他說,“讓企業獲利并實現目標(首席信息官)與保持IT安全(首席信息安全官)是首席信息官和首席信息安全官之間的顯著差異。”
這些區別可能很微妙。英國特許信息安全協會首席執行官 Amanda Finch表示,首席信息安全官和首席信息官對數據的態度最好地概括了責任的差異。信息安全認證和認證機構CREST公司總裁Ian Glover表示,從安全角度完全區分首席信息安全官和首席信息官的角色越來越困難。在大多數企業中,它們過于緊密地結合和相互關聯。
首席信息安全官的網絡安全職責
Zoom公司首席信息安全官Jason Lee表示,他的主要重點是保護關鍵信息,包括客戶數據、員工數據和源代碼。他說,“在安全方面,考慮大局很重要。這包括查看與業務相關的第三方并評估如何最好地管理任何風險。我還負責盡可能多地培訓和教育員工,以確保他們為安全威脅做好準備并受到保護。”
對于惠普公司的首席信息安全官Joanna Burkey來說,駕馭混合工作時代以保護企業是當前安全工作的不可或缺的一部分。他說,“在過去18個月左右的遠程工作模式中,網絡安全很容易對員工增加更多限制,因為他們的工作通常在沒有傳統的基礎設施保護的情況下進行。”然而,這些安全政策和限制是為遠程工作是例外而不是常態的時候設計的,需要通過新的視角來看待。她說,“首席信息安全官現在需要考慮其他降低風險的方法如何可以保護企業,但同時也承認現實生活中并不總是很好地遵守政策,尤其是在全球發生疫情之后。”
Jones補充說,管理由動態網絡威脅格局和數字化轉型浪潮相結合引起的過載是現代首席信息安全官角色的另一個組成部分。她說,“網絡安全現在需要融入企業運營的各個方面,并成為從首席執行官到初級員工每個人的首要考慮的事項。”他指出,首席信息安全官因此必須從頭開始為企業數字環境的各個方面注入安全性,確保它從數字項目開始就融入進來,最終減少安全團隊面臨的警報量,讓他們能夠更好地利用技能和資源。
首席信息官的網絡安全職責
Finch指出,雖然首席信息安全官負責網絡安全的各種日常性和前瞻性規劃,但在大多數企業中,這些責任往往由首席信息官承擔,首席信息官向首席執行官和董事會成員報告。他說,“因此,首席信息官不能完全將責任交給首席信息安全官。與其相反,他們需要保持對安全戰略的認識,并確保不會使企業的整體戰略處于危險之中,反之亦然。”
Tenable公司首席信息官Brad Pollard表示,當今的首席信息官有一系列基于可用性、性能、預算和項目及時交付的安全責任。他說,“首席信息官支持企業內的每個業務部門。在這樣做時,他們繼承了每個業務部門的信息安全要求。”
例如,首席信息安全官很可能負責定義安全參數,例如漏洞修復或訪問控制的服務級別協議,但首席信息官有責任為所有業務部門滿足這些要求,并涵蓋企業的所有技術。Pollard說。“首席信息官面臨的主要網絡安全挑戰是滿足業務需求,特別是保持預算和進度,同時保持安全的環境。”
英國埃塞克斯大學首席信息官Jots Sehmbi表示,首席信息官的角色不僅僅是運營傳統業務,還越來越多地包括實施新技術,為企業提供數字能力。他說,“其中一些技術對企業來說可能是新穎的(例如RPA、人工智能、物聯網)并存在潛在風險,例如數據的架構方式。因此,首席信息官有責任深入了解新技術的網絡安全趨勢。”
沖突與合作
Braun表示,鑒于世界并不完美這一現實,首席信息安全官和首席信息官不同的網絡安全責任和目標可能會導致沖突。但是需要提高凝聚力,以確保正在使用具有前瞻性的技術,該技術受到安全實踐的保障,不會危及企業、其數據或客戶的數據。
Jones表示,首席信息官和首席信息安全官不能孤立地看待自己,他們必須明白,雖然可能有不同的目標,但他們走的是同一條路。他說,“這兩個職位之間的協作和溝通是現代企業中的關鍵。首席信息安全官和首席信息官必須合作利用SD-WAN、SASE和零信任等技術和方法,以支持這些新的安全、高效的工作方式,并且不會影響可用性。”他補充說,首席信息安全官和首席信息官也必須意識到彼此的約束并在其中運作。
Glover引用了此處涉及的監管問題,強調了國際監管社區中一個新出現的問題,監管機構現在認識到有責任了解其受監管實體提供的網絡安全保證水平。他說,“同一受監管行業的首席信息官和首席信息安全官之間需要加強合作。監管機構會做他們認為正確的事情,但通常會從自身的角度看待問題。這種積極的影響與首席信息官和首席信息安全官的歷史角色大不相同,但是,如果謹慎而富有同情心地進行,將降低業務成本,讓更多資源集中在控制而不是報告上,并通過展示對業務的真正理解以及降低成本和提高效率的必要性,提高首席信息官和首席信息官在企業中的地位。”
Lee補充說,網絡安全在業務運營中的發展作用正在改變首席信息官和首席信息安全官之間的凝聚力,這是他在Zoom公司親身體驗過的。他說,“我們都必須優先考慮網絡安全,并應對日益增加的威脅。而在做出任何決定時,安全性必須是我們的首要考慮因素。保持參與彼此的戰略和關鍵舉措至關重要。即使我們認為不需要對方來確保很強的一致性,也會不斷地在策略中相互參與。這意味著我們的角色比過去更緊密地聯系在一起,使得協作變得更加重要。”
網絡安全所有權的未來
展望未來,專家預測首席信息安全官和首席信息官的網絡安全職責將發生顯著變化。Finch說,“我們將看到首席信息官和首席信息安全官努力使安全成為具有一致性標準、行為和執行的可信賴來源承擔同樣重要的責任,就像法律、醫學和會計等職業一樣。”
Zscaler公司首席信息安全官Marc Lueck認為,首席信息官在未來幾年將有一段有趣的網絡安全之旅。他指出,“或者他們擅長平衡成本和收益模式這兩種截然不同的基本服務,或者首席信息官將負責IT安全交付,由不再向他們報告的首席信息安全官管理并可能執行。這兩種模式都將存在,而且只要合適的人擔任這些角色,兩者都會取得成功。”對于首席信息官而言,網絡安全失敗并不令人難忘,但對于首席信息官而言,網絡安全將變得與效率和成本削減技能一樣重要。
Pollard補充說,就像現代業務部門通過SaaS平臺承擔一些傳統IT職責一樣,首席信息官將更有責任在業務部門內尋找安全專家。他補充說,“這些專家不僅需要知道如何保護所使用的特定技術,還需要了解對特定業務部門構成最大風險的威脅的態勢感知。”
Glover預測,首席信息官和首席信息安全官的共同職責將在第三方連接和并購領域發生變化,雙方都需要共同努力建立有意義的流程,以增加安全性和保障。他說,“他們將共同努力,以確保他們成為企業內重大舉措的一部分,并在他們之間擁有力量和權威,就第三方關系以及收購和合并做出明智和深思熟慮的聲明。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號