Kirsten Davies面臨著一項(xiàng)艱巨的任務(wù)：讓她的公司的歐洲員工采用新的安全協(xié)議，而他們則擔(dān)心這些協(xié)議會(huì)被用來(lái)監(jiān)視自已。

 

Kirsten當(dāng)時(shí)是HPE的副手CISO，他需要讓公司的員工們掌握各種新的工具和政策，就在歐盟準(zhǔn)備頒布通用數(shù)據(jù)保護(hù)條例(GDPR)的時(shí)候，該條例是一套全面的隱私規(guī)則。但是工人們擔(dān)心安全工具會(huì)被公司用于監(jiān)控，他們質(zhì)疑安全工具的能力是否會(huì)侵犯他們自己的隱私。

 

為了解決這些問(wèn)題，Davies走遍歐洲，會(huì)見(jiàn)工人委員會(huì)，闡述公司面臨的風(fēng)險(xiǎn)和引進(jìn)工具的重要性。她從德國(guó)開(kāi)始，在那里，母語(yǔ)為英語(yǔ)的美國(guó)人Davies用她流利的德語(yǔ)來(lái)建立融洽的關(guān)系。

 

Davies解釋說(shuō)，其目標(biāo)是讓工人們理解新工具是如何保護(hù)他們和公司的，以及為什么他們?nèi)绱岁P(guān)鍵。她成功了，與德國(guó)工人委員會(huì)簽訂了網(wǎng)絡(luò)安全總協(xié)議，成為了HPE 20多個(gè)海外工人委員會(huì)類似協(xié)議的典范。

 

“這是有史以來(lái)的第一份網(wǎng)絡(luò)安全協(xié)議，讓我們雙方都有了一份可信的協(xié)議，可以說(shuō)我們正在合作保護(hù)公司，”Davies說(shuō)。

 

Davies，現(xiàn)任雅詩(shī)蘭黛公司的高級(jí)副總裁兼首席營(yíng)銷官，該公司是一家跨國(guó)美容產(chǎn)品品牌制造商和營(yíng)銷商，她說(shuō)，2016年她在這些工人委員會(huì)的工作經(jīng)歷與安全職能部門的一項(xiàng)新職責(zé)不謀而合：說(shuō)服各成員相信，在數(shù)據(jù)安全和隱私方面，他們可以信任組織及其領(lǐng)導(dǎo)人，讓他們做正確的事。

 

“信任現(xiàn)在有點(diǎn)進(jìn)化了，但人們期望與我們的交易是安全、穩(wěn)定和真實(shí)的，”Davies說(shuō)。

 

與首席信息官一樣，首席信息官和他們的IT同行也經(jīng)歷了角色的演變，從專注于戰(zhàn)術(shù)部署的管理職位轉(zhuǎn)變?yōu)榱藚⑴c戰(zhàn)略的高管職位。現(xiàn)在，CISO的地位正在進(jìn)一步演變，成為了一個(gè)需要讓所有組織利益相關(guān)者--從客戶和業(yè)務(wù)伙伴再到員工和董事會(huì)成員--都參與進(jìn)來(lái)的角色，以建立信心，讓人們相信，在網(wǎng)絡(luò)安全的問(wèn)題上，組織的最大利益都在考慮之中。

 

然而，這不僅僅是一個(gè)深?yuàn)W的討論或哲學(xué)練習(xí)：首席執(zhí)行官們也相信，建立和保持與利益相關(guān)者的信任對(duì)于數(shù)字時(shí)代的成功至關(guān)重要。普華永道在其第21次全球首席執(zhí)行官調(diào)查中發(fā)現(xiàn)，87%的全球首席執(zhí)行官表示，他們正在投資網(wǎng)絡(luò)安全，以建立與客戶的信任。

 

信任似乎正在成為市場(chǎng)上的一個(gè)差異化因素。

 

“能夠以合乎道德的方式使用數(shù)據(jù)、以應(yīng)有的方式保護(hù)和管理數(shù)據(jù)的組織將獲得實(shí)質(zhì)性的競(jìng)爭(zhēng)優(yōu)勢(shì)，”普華永道網(wǎng)絡(luò)安全和隱私業(yè)務(wù)負(fù)責(zé)人Shawn Connors說(shuō)。

 

 

普華永道警告高管們不要低估當(dāng)今數(shù)字世界對(duì)信任的需求，也不要低估信任的價(jià)值。

 

普華永道在2018年秋季的報(bào)告<數(shù)字化信任之旅>中寫(xiě)道：“如果數(shù)字經(jīng)濟(jì)的命脈是數(shù)據(jù)，那么它的核心就是數(shù)字化的信任--對(duì)構(gòu)建安全數(shù)字化世界的人、過(guò)程和技術(shù)的信心水平。”

 

當(dāng)然，只要角色存在，CISO就將一直致力于保護(hù)其組織的系統(tǒng)及其包含的數(shù)據(jù)。企業(yè)高管和董事會(huì)成員早就期望CISO能夠?qū)崿F(xiàn)這些要素;甚至客戶和業(yè)務(wù)伙伴也開(kāi)始期待CISO能夠?qū)⑦@些任務(wù)執(zhí)行到可接受的水平。

 

不過(guò)，如今CISO也面臨著越來(lái)越大的社會(huì)期望，來(lái)自Dallas的一名律師Benjamin Wright說(shuō)。

 

“社會(huì)正在通過(guò)法律和實(shí)施規(guī)則，規(guī)定‘這就是我們期望你需要滿足的復(fù)雜要求，如果你不滿足這些要求并保證這些東西的安全，你將會(huì)受到懲罰。’”他說(shuō)。

 

Wright說(shuō)，因此，CISO的角色開(kāi)始變得像首席財(cái)務(wù)官，整個(gè)安全職能部門在企業(yè)中的地位開(kāi)始類似于法律部門，因?yàn)榘踩?-像財(cái)務(wù)和法律一樣--有超越其日常職責(zé)的義務(wù)。

 

“我并不是說(shuō)安全團(tuán)隊(duì)需要像律師或注冊(cè)會(huì)計(jì)師一樣獲得許可。然而，從歷史上看，企業(yè)的確需要依賴那些法律和金融專業(yè)人士向他們提供專業(yè)建議，這些建議很有分量。“我相信，由于社會(huì)對(duì)企業(yè)提出的解決網(wǎng)絡(luò)安全問(wèn)題的要求，有許多大型企業(yè)正朝著網(wǎng)絡(luò)安全團(tuán)隊(duì)的專業(yè)地位轉(zhuǎn)移，”Wright說(shuō)。“社會(huì)在說(shuō)，大企業(yè)，你有責(zé)任保護(hù)個(gè)人身份信息和資源之類的東西，如果你不履行這一責(zé)任，就會(huì)受到懲罰。”

 

然而，Wright也指出，社會(huì)不一定會(huì)表現(xiàn)出對(duì)企業(yè)安全的盲目信任。他指出，一些法規(guī)會(huì)要求組織證明他們正在解決網(wǎng)絡(luò)安全的需求，例如2017年紐約金融服務(wù)部對(duì)金融服務(wù)公司的網(wǎng)絡(luò)安全要求。還有聯(lián)邦貿(mào)易委員會(huì)2019年的決定，要求Facebook首席執(zhí)行官M(fèi)ark Zuckerberg親自證明他的公司正在努力保護(hù)消費(fèi)者隱私，這一要求源于聯(lián)邦貿(mào)易委員會(huì)與Facebook就Cambridge Analytica丑聞中濫用客戶數(shù)據(jù)達(dá)成的和解。

 

研究人員、顧問(wèn)和CISO表示，他們并不期望所有組織都需要簽署這樣的聲明，但他們確實(shí)期望將來(lái)可以有更多這樣的規(guī)則。他們還同意，企業(yè)領(lǐng)導(dǎo)人必須向其利益相關(guān)者證明，他們正在努力保護(hù)IT系統(tǒng)及其包含的數(shù)據(jù)。

 

“信任會(huì)隨著時(shí)間的推移而贏得，”Connors補(bǔ)充道，“只收集你需要的東西，根據(jù)要求終止它，保護(hù)它并合乎道德地使用它。”

 

 

培養(yǎng)數(shù)字信任對(duì)許多人來(lái)說(shuō)可能是一場(chǎng)斗爭(zhēng)。

 

2018年數(shù)字轉(zhuǎn)型指數(shù)是一項(xiàng)針對(duì)來(lái)自40多個(gè)國(guó)家的4600名企業(yè)領(lǐng)袖的調(diào)查，這些企業(yè)領(lǐng)袖來(lái)自Dell Technologies，英特爾和Vanson Bourne，調(diào)查發(fā)現(xiàn)，49%的人“擔(dān)心他們的組織在5年內(nèi)不會(huì)被證明是值得信賴的。”

 

調(diào)查還發(fā)現(xiàn)，91%的企業(yè)正面臨著持續(xù)的數(shù)字化轉(zhuǎn)換障礙，“數(shù)據(jù)隱私和安全問(wèn)題是最主要的障礙，還有資源和技能的限制(第二和第三)以及監(jiān)管和立法變化和不成熟的數(shù)字文化，這些是排在前五的挑戰(zhàn)。

 

然而，Connors、Wright和其他人認(rèn)為，CISO應(yīng)該認(rèn)識(shí)到他們有機(jī)會(huì)產(chǎn)生信任。

 

他們表示，CISO可以通過(guò)與他們的高管同事建立關(guān)系，將安全職能納入戰(zhàn)略討論，并讓董事會(huì)參與到他們所期望的業(yè)務(wù)條款中來(lái)，這是CISO在過(guò)去幾年中一直聽(tīng)到的建議。

 

Wright說(shuō)，從那里，CISO可以考慮如何在書(shū)面政策、內(nèi)部信息甚至是公開(kāi)聲明中闡明他們對(duì)安全和隱私的努力，他指出，CISO現(xiàn)在不僅必須培養(yǎng)對(duì)其他高管和董事會(huì)的信任，還必須培養(yǎng)對(duì)普通員工、商業(yè)伙伴、消費(fèi)者、監(jiān)管機(jī)構(gòu)和整個(gè)社會(huì)的信任。

 

Connors對(duì)此表示同意，他說(shuō)：“數(shù)字信任的話題將會(huì)是一種越來(lái)越強(qiáng)烈的情緒。人們想和那些處理好數(shù)據(jù)的人做生意，而那些處理不好數(shù)據(jù)的人將必須面對(duì)某種程度的后果。”

 

此外，消費(fèi)者也越來(lái)越多地詢問(wèn)組織將如何處理他們的數(shù)據(jù)、如何保護(hù)數(shù)據(jù)、在哪里使用數(shù)據(jù)以及為什么要共享數(shù)據(jù)。CISO最好將信息添加到響應(yīng)此類查詢的組織聲明和策略中。

 

“不要只是告訴人們你有政策。他們想知道數(shù)據(jù)的去向。向他們證明你有適當(dāng)?shù)目刂扑剑?rdquo;Connors解釋說(shuō)，CISO可以進(jìn)一步培養(yǎng)信任，表明他們不僅在采取措施保護(hù)自己組織內(nèi)的數(shù)據(jù)，而且還在努力確保他們的業(yè)務(wù)伙伴和合作伙伴也同樣盡職盡責(zé)。

 

然而，CISO在這項(xiàng)任務(wù)中不應(yīng)該感到孤獨(dú)。

 

“CISO的角色是提供一定程度的保密性、完整性和可用性，”Connors說(shuō)，他引用了長(zhǎng)期以來(lái)被稱為中情局三元組的網(wǎng)絡(luò)安全模式，“而且這不僅僅是CISO的責(zé)任。這是一個(gè)關(guān)于整個(gè)組織應(yīng)該如何建立信任的話題。”

 

普華永道在其數(shù)字信任報(bào)告中宣稱這是一項(xiàng)值得的努力：“向互聯(lián)世界展示為何在安全、可靠性、隱私和數(shù)據(jù)倫理方面發(fā)揮領(lǐng)導(dǎo)作用的公司，將成為未來(lái)的巨頭。”

 

 

咨詢公司SideChannel Security的合伙人和聯(lián)合創(chuàng)始人、前CISO人 Brian Haugli表示，許多銷售代表在尋求建立信任時(shí)都會(huì)面臨挑戰(zhàn)。

 

Haugli說(shuō)，CISO經(jīng)常會(huì)遇到仍然把安全性視為速度和業(yè)務(wù)增長(zhǎng)障礙的業(yè)務(wù)同事。CISO有時(shí)會(huì)發(fā)現(xiàn)它們不是早期戰(zhàn)略討論的一部分，而是在后期階段--當(dāng)安全性更難集成時(shí)--被循環(huán)引入到計(jì)劃當(dāng)中。

 

與此同時(shí)，Haugli表示，一些首席信息官可能還沒(méi)有準(zhǔn)備好承擔(dān)建立信任的任務(wù)。這些CISO可能還不認(rèn)為自己是業(yè)務(wù)推動(dòng)者、關(guān)鍵顧問(wèn)和戰(zhàn)略合作伙伴，而是被卡在CISO角色的一個(gè)版本之中，主要從事于技術(shù)監(jiān)督和攔截安全計(jì)劃。

 

事實(shí)上，至少有一項(xiàng)調(diào)查表明，許多組織并沒(méi)有完全接受這一概念。

 

The Cloudfathers：一份《財(cái)富》500強(qiáng)的網(wǎng)絡(luò)安全分析，云接入安全經(jīng)紀(jì)公司Bitglass于2019年9月發(fā)布了一份研究報(bào)告，研究了《財(cái)富》500強(qiáng)企業(yè)中與安全相關(guān)的面向公眾的信息。分析發(fā)現(xiàn)，77%的公司沒(méi)有說(shuō)明誰(shuí)應(yīng)對(duì)他們的安全策略負(fù)責(zé)，而52%的公司在其網(wǎng)站上除了法律要求的隱私通知外，沒(méi)有任何關(guān)于如何保護(hù)消費(fèi)者和合作伙伴數(shù)據(jù)的聲明。

 

另一方面，一些CISO已經(jīng)將信任作為了整個(gè)安全功能的中心主題。

 

以O(shè)mar Khawaja為例，他是國(guó)家健康與福利組織Highmark Health的首席信息官。他認(rèn)為信任是他和他的安全團(tuán)隊(duì)所做工作的縮影，實(shí)際上，當(dāng)他們?cè)?019年初重寫(xiě)安全計(jì)劃的使命陳述以更好地與公司的戰(zhàn)略愿景保持一致時(shí)，他也宣布了同樣多的內(nèi)容。

 

舊的任務(wù)聲明談到了安全部門的三個(gè)業(yè)務(wù)目標(biāo)--合規(guī)性、隱私性和效率--這三個(gè)目標(biāo)是通過(guò)遵循中情局的三位一體原則實(shí)現(xiàn)的。

 

新愿景聲明寫(xiě)道：“我們的愿景是實(shí)現(xiàn)一個(gè)人們能夠毫不含糊地相信自己的信息是安全的世界。”

 

“信任真的應(yīng)該像是北極星，”Khawaja解釋說(shuō)，他開(kāi)始明白安全團(tuán)隊(duì)的活動(dòng)都是為了支持這種信任。

 

Khawaja表示，他是在幾年前開(kāi)始更多地參加與公司客戶的會(huì)議后獲得這種認(rèn)識(shí)的。這些客戶發(fā)現(xiàn)，越來(lái)越多的醫(yī)療機(jī)構(gòu)受到了網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的困擾，他們希望得到保證，即他們的數(shù)據(jù)在健康狀況良好的情況下是安全的。

 

“所以我?guī)ьI(lǐng)客戶了解了網(wǎng)絡(luò)的風(fēng)險(xiǎn)，我們對(duì)他們做了什么，以及他們對(duì)我們所做的事情的感受，”Khawaja說(shuō)。“我一直覺(jué)得，這些討論的成功性在于，他們是否覺(jué)得他們的信息安全在可靠的人手中，他們是否覺(jué)得Highmark在數(shù)據(jù)處理方面已經(jīng)做得足夠好了。”

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。