高管、董事会成员甚至网络团队对首席信息安全官(CISO)这一角色的误解,常常对组织的安全和风险管理产生重大影响。
图片来源:Jacob Lund / Shutterstock
关于 CISO 角色的误解有很多,部分原因在于它仍是许多组织中的新职位,大多数安全领导者都是从技术职能部门晋升而来。这导致人们认为 CISOs 对业务不够精通,“在讨论如何推动业务发展时,不应有发言权”,卡内基梅隆大学软件工程研究所 CERT 部门主任 Gregory Touhill 说道。“这种误解源于认为 CISOs 不了解业务,只需要懂技术。”
事实上,CISOs 是“业务领导者和技术专家之间的桥梁”,Touhill 强调道,他是 2016 年任命的首位美国政府 CISO。
网络安全咨询公司 MorganFranklin Cyber 的技术、媒体和电信(TMT)董事总经理 John Allen 指出,CISO 角色“常常被高管、董事会成员甚至自己的团队误解”,这可能会阻碍安全效力的发挥。
以下是关于 CISOs 的误解以及如何改变这些误解。
误解一:CISO 只是“安全人员”
安全领导者希望明确的一点是,他们不仅仅是为了更改密码、应用补丁和设置防火墙而存在的。如今的 CISO 通常不太参与日常运营,而是更多关注宏观问题,例如保护云中的工作负载和应用程序以及 AI 工具。
此外,他们有时会参与并购战略,评估潜在收购目标的安全态势,以识别可能影响估值、法规遵从性或与现有公司整合的风险。
“有一种误解认为,CISO 的日常工作就是应对事件和了解新兴威胁”,Liberty Mutual Insurance 执行副总裁兼 CISO Katie Jenkins 指出。“虽然这两方面确实占一定比例,但我也把时间花在主动规划、与利益相关者沟通以了解他们的优先级、教育培训他人以及自我提升上。”
Katie Jenkins, 执行副总裁兼 CISO, Liberty Mutual Insurance
Jenkins 补充道,这个领域变化如此之快,她需要投入时间跟进研究并与其他 CISO 交流知识。
专家表示,除了保护基础设施外,有效的 CISO 还专注于保护业务。这需要理解安全如何融入业务,不仅要关注风险管理,还要确保安全帮助公司发展而不引发其他问题。
行业专家指出,不应将 CISOs 视为“技术执行者”,而应将其视为战略业务领导者。
误解二:安全纯粹是一个技术职能
同样,你可以拥有世界上最好的工具和最强大的安全堆栈,但如果员工仍然点击钓鱼链接或重复使用弱密码,那么这些都无济于事。CISO 的角色正在演变,如今他们必须扮演多种角色,包括心理学家、教育家和外交官,以说服人们安全是每个人的职责。
这是因为在很多情况下,没有人会过多考虑安全问题——直到出现问题为止。此外,领导层可能不将安全视为企业文化的一部分。专家表示,一位强大的 CISO 花在与人合作上的时间和花在工具上的时间一样多。
“我已经记不清有多少次有人假设我的日常工作就是配置防火墙或修补漏洞”,安全资源公司 LLC.org 的 CISO Sam Taylor 说道,并补充说她经常遇到这种情况。
“实际上,我 70% 的工作是风险管理、沟通,以及确保高层重视安全问题。我花在董事会的时间比在安全运营中心的时间多”,她说。“领导团队不关心技术术语,他们关心的是财务方面的风险。”
Sam Taylor, CISO, LLC.org
然而,当 Taylor 解释说薄弱的安全态势可能导致数百万的收入损失、法律费用和监管罚款时,他们就会认真倾听。
“这个角色已经改变,那些不适应变化的 CISO 很难产生真正的影响”,她说。“一家公司可以拥有市场上最好的安全工具,但如果安全不是文化的一部分,漏洞仍然会发生。”
这从高层开始,然而,“仍然有不少董事会和商业领袖认为网络安全是 IT 职能,而不是业务风险问题”,MorganFranklin Cyber 的 Allen 说道。“我在金融领域的一位同事指出,他们的董事会期望通过工具和软件解决安全威胁,而没有意识到治理、员工培训和文化变革的重要性。”
许多人认为网络安全是一个技术问题,LexisNexis Risk Solutions 技术高级副总裁兼全球 CISO Flavio Villanustre 同意这一点。“这与事实相去甚远。现代 CISO 负责网络安全的各个方面,远不止于其技术组件和影响”,他说。
在某些行业中,对 CISO 角色的误解尤为明显。例如,在媒体和电信领域,安全常常被视为合规复选框或 IT 职能,而不是业务弹性的基本推动因素,Allen 说道。他回忆了他与一位数字媒体安全高管的对话,该高管分享说,领导层专注于合规性,但忽视了主动的安全投资——直到一场备受瞩目的数据泄露事件危及了用户数据。
“在科技公司,安全有时被视为工程问题,高管们认为开发运维团队可以在没有专门治理的情况下处理安全”,Allen 指出。“实际上,安全需要融入业务战略,从媒体中的知识产权保护到保护电信网络免受国家级别威胁。”
误解三:CISO 对网络安全拥有完全控制权
许多高管和董事会认为聘用 CISO 就意味着安全得到了控制。事实上,Allen 表示,网络安全是一项全公司范围内的责任。“没有跨部门的协作,CISO 的影响力是有限的。许多 CISO 经常分享他们倡导安全举措的故事,结果却遇到了领导的阻力,他们往往优先考虑便利性或短期财务收益,而不是降低长期风险。”
例如,Allen 的一位来自 500 强企业的前客户告诉他,预算限制和业务风险承受能力常常会凌驾于安全建议之上。“安全领导者必须应对艰难的妥协,而当事件发生时,他们可能会受到不公平的指责——即使他们的建议没有完全实施,因为业务权衡”,Allen 说。
一个相关的误解是,许多高管认为 CISOs 对安全战略拥有完全的自主权。然而,安全领导者通常要在激进的产
参考来源:
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
