1.首席信息安全官角色的基本要素是什么?
每个人对首席信息安全官(CISO)这个职位都有着不同的看法,但人们通常谈论的是监督企业安全计划的管理人员。最初的看法是,首席信息安全官专注于使用安全技术阻止对企业的违规行为,尽管这是其工作的一部分,但首席信息安全官的作用远不止于此。
首席信息安全官的角色根据企业的情况而有所不同,具体取决于他们的需求。其工作范围可能包括安全治理和合规性、隐私、产品安全,甚至物理安全。但在寻求功能之间的协同作用时,物理安全经常被人忽视。
网络安全和物理安全都具有共同的主题,并且都受益于高水平的态势感知。对数字信息的威胁通常类似于对个人或设施的威胁,而物理安全事件也可以迅速演变为信息安全事件。这就是首席信息安全官和更广泛的企业促进物理和网络安全实践之间的联系至关重要的原因。
除了在不同的安全领域拥有足够的技术和知识之外,首席信息安全官还负责弥合技术与人员之间的差距。帮助非技术业务领导者了解应该做出复杂技术决策的原因,可以使这些领导者成为安全的拥护者。
2.成为成功的首席信息安全官所需的主要能力是什么?
对任何首席信息安全官或安全领导者来说,必不可少的两种能力是亲和力和适应性。从本质上来说,安全专业人员需要能够与他人密切协作并适应变化。
如果将首席信息安全官的职责分解到其基本层面,它是一种基于说服的职能,并依赖于强大的协作技能。首席信息安全官的工作是召集各级利益相关者(企业董事会成员、高管领导层和所有员工)成为安全倡导者和从业者。首席信息安全官还应该阻止违规行为,虽然这是他们的目标,但如果企业的每个人都不尽自己的一份力量,那么他们就无法做到这一点。这可能意味着改变对企业构成安全风险的根深蒂固的行为,这需要时间、同理心以及对共同目标的强烈认同。安全团队可能会部署其想要的所有工具和流程,但如果员工没有正确地做事的话,这些目标都难以实现。
作为这一角色的一部分,首席信息安全官面临着一项艰巨的任务,即说服企业的每个利益相关者以统一积极的态度对网络安全进行投资——无论是在财务上还是在个人方面。首席信息安全官必须找到一种方式,以显示对业务进行支持的方式传达其优先事项。
协作是任何一个安全实践成功的关键因素,因此建立一个具有各种不同技能、相互补充的安全团队将极大地增强业务活力。首席信息安全官不必拥有计算机科学学位,也不必拥有丰富的以技术为中心的职业道路。重要的是,他们需要与业务合作伙伴产生共鸣,并找到一条正确前进的道路,通过保护企业的信息资产帮助他们取得成功。
3.人为因素与技术要求的契合度如何?
不言而喻,人员是安全计划获得成功的基础,人为因素是首席信息安全官在安全方面应该关注的重点。技术在安全领域当然很重要,但随着新的威胁和对策在网络安全方面的不断斗争,技术也在不断变化和发展。
首席信息安全官还需要花费时间向他们的利益相关者宣传这些对策。零信任就是一个很好的例子。虽然听起来很新颖且具有创新性,但这个概念已经存在了几十年——这不是魔术,而只是安全常识。但是,尽管零信任对安全从业者来说听起来很酷,但最终用户可能有不同的看法。研究发现,32%的企业安全领导者表示,如果实施零信任策略,担心员工会认为企业不信任他们。他们认为,首席信息安全官应该认识到何时以及如何管理这样的观念以充分利用他们的技术战略。
4.对首席信息安全官有何建议?
有人说,“对于一名首席信息安全官来说,如果没有人对他大喊大叫,那么他可能没有做好自己的工作。”尽管这听起来很极端,但它是真实的。他们的工作是进行变革,这并不总是一个简单的过程,并且可能会在这一过程中会惹恼一些人。但为了提高企业的最佳安全性,首席信息安全官必须表明立场,让员工走出他们的舒适区。
虽然首席信息安全官在遭遇网络攻击事件之后可能成为替罪羊,但人们仍然期望首席信息安全官能够防止违规行为,但在出现问题时可能会指责他们。为此建议安全专业人士不要将这样的情况视为个人行为——数据泄露是不可避免的,实际上可以为所有相关人员提供宝贵的经验和教训。在现代企业中有如此多的活动,首席信息安全官不可能每次都能成功阻止网络攻击事件。与其相反,应该将关注重点放在从这些事件中吸取教训,并进行调整以防止下一次网络攻击;他们还应该了解这些事件可能对其团队成员造成的影响,并讨论对于安全事件反应的心理和情绪,以及如何在行动中保持乐观。
最后,首席信息安全官改变安全态度的使命只有在企业其他成员愿意倾听的情况下才能成功。虽然教育和说服是安全团队的工作,但重要的是其他人也要参与进来。在企业内部开展协作是构建防御和抵御网络攻击和安全威胁的最佳方式。
