每個人對首席信息安全官(CISO)這個職位都有著不同的看法,但人們通常談?wù)摰氖潜O(jiān)督企業(yè)安全計劃的管理人員。最初的看法是,首席信息安全官專注于使用安全技術(shù)阻止對企業(yè)的違規(guī)行為,盡管這是其工作的一部分,但首席信息安全官的作用遠不止于此。
首席信息安全官的角色根據(jù)企業(yè)的情況而有所不同,具體取決于他們的需求。其工作范圍可能包括安全治理和合規(guī)性、隱私、產(chǎn)品安全,甚至物理安全。但在尋求功能之間的協(xié)同作用時,物理安全經(jīng)常被人忽視。
網(wǎng)絡(luò)安全和物理安全都具有共同的主題,并且都受益于高水平的態(tài)勢感知。對數(shù)字信息的威脅通常類似于對個人或設(shè)施的威脅,而物理安全事件也可以迅速演變?yōu)樾畔踩录_@就是首席信息安全官和更廣泛的企業(yè)促進物理和網(wǎng)絡(luò)安全實踐之間的聯(lián)系至關(guān)重要的原因。
除了在不同的安全領(lǐng)域擁有足夠的技術(shù)和知識之外,首席信息安全官還負責彌合技術(shù)與人員之間的差距。幫助非技術(shù)業(yè)務(wù)領(lǐng)導者了解應該做出復雜技術(shù)決策的原因,可以使這些領(lǐng)導者成為安全的擁護者。
2.成為成功的首席信息安全官所需的主要能力是什么?
對任何首席信息安全官或安全領(lǐng)導者來說,必不可少的兩種能力是親和力和適應性。從本質(zhì)上來說,安全專業(yè)人員需要能夠與他人密切協(xié)作并適應變化。
如果將首席信息安全官的職責分解到其基本層面,它是一種基于說服的職能,并依賴于強大的協(xié)作技能。首席信息安全官的工作是召集各級利益相關(guān)者(企業(yè)董事會成員、高管領(lǐng)導層和所有員工)成為安全倡導者和從業(yè)者。首席信息安全官還應該阻止違規(guī)行為,雖然這是他們的目標,但如果企業(yè)的每個人都不盡自己的一份力量,那么他們就無法做到這一點。這可能意味著改變對企業(yè)構(gòu)成安全風險的根深蒂固的行為,這需要時間、同理心以及對共同目標的強烈認同。安全團隊可能會部署其想要的所有工具和流程,但如果員工沒有正確地做事的話,這些目標都難以實現(xiàn)。
作為這一角色的一部分,首席信息安全官面臨著一項艱巨的任務(wù),即說服企業(yè)的每個利益相關(guān)者以統(tǒng)一積極的態(tài)度對網(wǎng)絡(luò)安全進行投資——無論是在財務(wù)上還是在個人方面。首席信息安全官必須找到一種方式,以顯示對業(yè)務(wù)進行支持的方式傳達其優(yōu)先事項。
協(xié)作是任何一個安全實踐成功的關(guān)鍵因素,因此建立一個具有各種不同技能、相互補充的安全團隊將極大地增強業(yè)務(wù)活力。首席信息安全官不必擁有計算機科學學位,也不必擁有豐富的以技術(shù)為中心的職業(yè)道路。重要的是,他們需要與業(yè)務(wù)合作伙伴產(chǎn)生共鳴,并找到一條正確前進的道路,通過保護企業(yè)的信息資產(chǎn)幫助他們?nèi)〉贸晒Α?/div>
3.人為因素與技術(shù)要求的契合度如何?
不言而喻,人員是安全計劃獲得成功的基礎(chǔ),人為因素是首席信息安全官在安全方面應該關(guān)注的重點。技術(shù)在安全領(lǐng)域當然很重要,但隨著新的威脅和對策在網(wǎng)絡(luò)安全方面的不斷斗爭,技術(shù)也在不斷變化和發(fā)展。
首席信息安全官還需要花費時間向他們的利益相關(guān)者宣傳這些對策。零信任就是一個很好的例子。雖然聽起來很新穎且具有創(chuàng)新性,但這個概念已經(jīng)存在了幾十年——這不是魔術(shù),而只是安全常識。但是,盡管零信任對安全從業(yè)者來說聽起來很酷,但最終用戶可能有不同的看法。研究發(fā)現(xiàn),32%的企業(yè)安全領(lǐng)導者表示,如果實施零信任策略,擔心員工會認為企業(yè)不信任他們。他們認為,首席信息安全官應該認識到何時以及如何管理這樣的觀念以充分利用他們的技術(shù)戰(zhàn)略。
4.對首席信息安全官有何建議?
有人說,“對于一名首席信息安全官來說,如果沒有人對他大喊大叫,那么他可能沒有做好自己的工作。”盡管這聽起來很極端,但它是真實的。他們的工作是進行變革,這并不總是一個簡單的過程,并且可能會在這一過程中會惹惱一些人。但為了提高企業(yè)的最佳安全性,首席信息安全官必須表明立場,讓員工走出他們的舒適區(qū)。
雖然首席信息安全官在遭遇網(wǎng)絡(luò)攻擊事件之后可能成為替罪羊,但人們?nèi)匀黄谕紫畔踩倌軌蚍乐惯`規(guī)行為,但在出現(xiàn)問題時可能會指責他們。為此建議安全專業(yè)人士不要將這樣的情況視為個人行為——數(shù)據(jù)泄露是不可避免的,實際上可以為所有相關(guān)人員提供寶貴的經(jīng)驗和教訓。在現(xiàn)代企業(yè)中有如此多的活動,首席信息安全官不可能每次都能成功阻止網(wǎng)絡(luò)攻擊事件。與其相反,應該將關(guān)注重點放在從這些事件中吸取教訓,并進行調(diào)整以防止下一次網(wǎng)絡(luò)攻擊;他們還應該了解這些事件可能對其團隊成員造成的影響,并討論對于安全事件反應的心理和情緒,以及如何在行動中保持樂觀。
最后,首席信息安全官改變安全態(tài)度的使命只有在企業(yè)其他成員愿意傾聽的情況下才能成功。雖然教育和說服是安全團隊的工作,但重要的是其他人也要參與進來。在企業(yè)內(nèi)部開展協(xié)作是構(gòu)建防御和抵御網(wǎng)絡(luò)攻擊和安全威脅的最佳方式。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號