隨著企業(yè)大規(guī)模投資數(shù)字化轉(zhuǎn)型,CISO現(xiàn)在比以往任何時候都更應該做好準備,來鼓勵其他領導者參與管理和解決網(wǎng)絡風險。
尋找最新最好的技術(shù)
數(shù)字化企業(yè)世界的激烈競爭促使企業(yè)領導者不斷尋找最新、最偉大的創(chuàng)新技術(shù),以助力他們脫穎而出。
這些技術(shù)在不同的計算時代呈指數(shù)級發(fā)展。它始于集中式大型機,然后在20世紀90年代過渡到微型計算機和個人電腦。然后是互聯(lián)網(wǎng)時代,再之后是2000年代的移動設備革命,以及2010年代向云計算的擴張。
我們現(xiàn)在已經(jīng)進入了另一個變革時代:當前的AI和ML軍備競賽雖然令人興奮,但也為CISO帶來了一系列新的運營風險。
知道什么時候說“是”
精簡業(yè)務關(guān)鍵功能、緩解瓶頸和提高運營效率的努力使數(shù)字化轉(zhuǎn)型成為每個企業(yè)的首要任務。當收入和客戶滿意度受到影響時,采用新技術(shù)并了解與之相關(guān)的網(wǎng)絡風險是勢在必行的。
CISO要想成為真正的業(yè)務伙伴,對每一個新機會都說“不”是不可行的。但是,知道如何以及何時在不危及組織安全態(tài)勢的情況下說“是”可能很棘手。
這凸顯了簡化高管層和董事會對網(wǎng)絡風險的集體理解的重要性。CISO的角色不再是戰(zhàn)術(shù)推動者或純粹的技術(shù)專家。它是關(guān)于如何成為一個變革性的領導者,以縮小企業(yè)的網(wǎng)絡安全和業(yè)務運營之間的差距,并幫助推動市場采用和持續(xù)成功。
高層參與:使網(wǎng)絡風險與業(yè)務目標保持一致
有效地讓高管參與進來是基于簡化網(wǎng)絡風險和業(yè)務風險之間的聯(lián)系。這需要解讀網(wǎng)絡攻擊的影響,并清楚地勾勒出它可能對基本業(yè)務目標造成的嚴重后果,而不是夸大其詞地描繪“世界末日”的故事。
在與首席財務官的對話中,這種聯(lián)系可能是與勒索軟件事件導致的運營停機相關(guān)的財務損失;對于首席營銷官來說,這可能是客戶個人身份信息(PII)數(shù)據(jù)泄露后的品牌聲譽受損;對于首席運營官來說,這可能是供應鏈中斷后的業(yè)務中斷。
這個游戲的本質(zhì)是傳達“不作為”的含義,并將其與各個領導者眼中最有意義的結(jié)果聯(lián)系起來。因為圍繞擴展檢測和響應(XDR)解決方案、泄漏和分布式拒絕服務(DDoS)攻擊的復雜性討論永遠不會與非技術(shù)受眾產(chǎn)生共鳴。
而且,更深入地說,它也可能在CISO沒有真正意識到的情況下給人一種輕視的感覺,從而進一步加劇網(wǎng)絡威脅形勢的復雜性。
董事會參與:建立信任和信心
隨著網(wǎng)絡威脅的性質(zhì)不斷演變,圍繞總體網(wǎng)絡風險的監(jiān)管格局也在不斷變化。隨著美國證券交易委員會新規(guī)的生效,董事會終于開始認識到數(shù)字時代網(wǎng)絡彈性的緊迫性,并進一步承諾為企業(yè)配備適當?shù)馁Y源,以主動保護數(shù)據(jù)和實現(xiàn)自我保護。
這種模式轉(zhuǎn)變的連鎖反應是,安全領導者現(xiàn)在比以往任何時候都更多地從董事會獲得見解和建議。CAP集團今年早些時候的一項研究發(fā)現(xiàn),在Russell 3000 index公司中有90%缺少一名具備必要網(wǎng)絡專業(yè)知識的董事。反過來,CISO被要求在董事會中建立和維持一條開放的溝通渠道。
快速和持續(xù)的更新
考慮到嚴格的合規(guī)要求即將生效,董事會需要快速、持續(xù)地更新網(wǎng)絡威脅形勢。在這種情況下,有效的參與需要對最終目標有堅定的理解。這并不是要求組織的主要管理機構(gòu)進行網(wǎng)絡預算或批準的問題。相反地,這是一份請愿書,讓人們相信,該組織有能力在網(wǎng)絡危機中管理好自己,并在遵守相應法規(guī)的情況下緩解其后果。
在董事會環(huán)境中,時間是至關(guān)重要的——首席信息安全官通常只有15到30分鐘的時間來陳述自己的觀點。所以,不要使用大量的ppt和冗長的演講,而是利用有影響力的講故事技巧和合乎邏輯的真實世界的例子來引起共鳴。
這不僅僅是為了表達網(wǎng)絡風險,而是要讓他們切實地感受到它的影響。
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號