首席信息安全官和首席信息官应该如何共享网络安全所有权
首席信息安全官(CISO)和首席信息官(CIO)需要权衡他们的网络安全职责如何随着业务环境和威胁格局的变化而演变。
在大多数企业中,首席信息安全官和首席信息官都肩负着网络安全的责任是很常见的,而这个问题对于任何企业的有效运营越来越重要。明确的网络安全所有权是企业安全成功定位的不可或缺的一部分。
根据国际信息系统审计协会(ISACA)最近对近3700名全球网络安全专业人员的一项调查,48%的网络安全团队直接向首席信息安全官报告,25%的网络安全团队向首席信息官报告。尽管这些在报告中存在差异,但表明首席信息安全官和首席信息官之间在安全职能所有权方面没有显著差异,其中涉及网络攻击增加或减少的观点、检测和响应网络威胁的能力以及网络犯罪。
然而,该报告确实发现了与网络风险评估的执行评估、企业董事会如何优先考虑网络安全以及战略调整相关的差异。更重要的是,该报告还指出了一种越来越多的行业惯例,即首席信息安全官向首席信息官以外的任何人报告,尤其是当首席信息安全官的范围包括治理、风险和合规性、业务连续性/灾难恢复、欺诈、信任以及安全或危机管理的时候。
由于企业的规模、部门和监管要求等原因,首席信息官和首席信息安全官对网络安全问题的责任可能有所不同。尽管如此,随着网络安全与更广泛的业务元素越来越紧密地交织在一起,谁拥有什么类型的网络安全所有权以及为什么拥有这种权力变得越来越重要。
网络安全责任:首席信息安全官vs.首席信息官
Lightico公司首席信息官Omri Braun以这种方式总结了大多数首席信息官和首席信息安全官的网络安全职责之间的区别:“首席信息官更专注于确保使用正确的工具来最大限度地提高效率,以及识别影响企业和不断寻找机会使用和生产更好的技术。首席信息安全官负责确保主动保护数据安全性和完整性。”
Orange Cyberdefense公司全球首席信息安全官Richard Jones对此表示认同。他说,“通常情况下,首席信息安全官的角色是从运营角度看待安全,保护企业免受网络威胁。另一方面,首席信息官更侧重于通过设计将安全性构建到企业更广泛的技术堆栈和正在进行的数字化转型项目中,以提高弹性、提升用户体验,并最大限度地提高效率。”
网络安全架构师Tee Patel表示,就安全投资回报率而言,首席信息官经常被迫采取“党派路线”,而首席信息安全官通常需要更加独立,专注于保护业务安全。他说,“让企业获利并实现目标(首席信息官)与保持IT安全(首席信息安全官)是首席信息官和首席信息安全官之间的显著差异。”
这些区别可能很微妙。英国特许信息安全协会首席执行官 Amanda Finch表示,首席信息安全官和首席信息官对数据的态度最好地概括了责任的差异。信息安全认证和认证机构CREST公司总裁Ian Glover表示,从安全角度完全区分首席信息安全官和首席信息官的角色越来越困难。在大多数企业中,它们过于紧密地结合和相互关联。
首席信息安全官的网络安全职责
Zoom公司首席信息安全官Jason Lee表示,他的主要重点是保护关键信息,包括客户数据、员工数据和源代码。他说,“在安全方面,考虑大局很重要。这包括查看与业务相关的第三方并评估如何最好地管理任何风险。我还负责尽可能多地培训和教育员工,以确保他们为安全威胁做好准备并受到保护。”
对于惠普公司的首席信息安全官Joanna Burkey来说,驾驭混合工作时代以保护企业是当前安全工作的不可或缺的一部分。他说,“在过去18个月左右的远程工作模式中,网络安全很容易对员工增加更多限制,因为他们的工作通常在没有传统的基础设施保护的情况下进行。”然而,这些安全政策和限制是为远程工作是例外而不是常态的时候设计的,需要通过新的视角来看待。她说,“首席信息安全官现在需要考虑其他降低风险的方法如何可以保护企业,但同时也承认现实生活中并不总是很好地遵守政策,尤其是在全球发生疫情之后。”
Jones补充说,管理由动态网络威胁格局和数字化转型浪潮相结合引起的过载是现代首席信息安全官角色的另一个组成部分。她说,“网络安全现在需要融入企业运营的各个方面,并成为从首席执行官到初级员工每个人的首要考虑的事项。”他指出,首席信息安全官因此必须从头开始为企业数字环境的各个方面注入安全性,确保它从数字项目开始就融入进来,最终减少安全团队面临的警报量,让他们能够更好地利用技能和资源。
首席信息官的网络安全职责
Finch指出,虽然首席信息安全官负责网络安全的各种日常性和前瞻性规划,但在大多数企业中,这些责任往往由首席信息官承担,首席信息官向首席执行官和董事会成员报告。他说,“因此,首席信息官不能完全将责任交给首席信息安全官。与其相反,他们需要保持对安全战略的认识,并确保不会使企业的整体战略处于危险之中,反之亦然。”
Tenable公司首席信息官Brad Pollard表示,当今的首席信息官有一系列基于可用性、性能、预算和项目及时交付的安全责任。他说,“首席信息官支持企业内的每个业务部门。在这样做时,他们继承了每个业务部门的信息安全要求。”
例如,首席信息安全官很可能负责定义安全参数,例如漏洞修复或访问控制的服务级别协议,但首席信息官有责任为所有业务部门满足这些要求,并涵盖企业的所有技术。Pollard说。“首席信息官面临的主要网络安全挑战是满足业务需求,特别是保持预算和进度,同时保持安全的环境。”
英国埃塞克斯大学首席信息官Jots Sehmbi表示,首席信息官的角色不仅仅是运营传统业务,还越来越多地包括实施新技术,为企业提供数字能力。他说,“其中一些技术对企业来说可能是新颖的(例如RPA、人工智能、物联网)并存在潜在风险,例如数据的架构方式。因此,首席信息官有责任深入了解新技术的网络安全趋势。”
冲突与合作
Braun表示,鉴于世界并不完美这一现实,首席信息安全官和首席信息官不同的网络安全责任和目标可能会导致冲突。但是需要提高凝聚力,以确保正在使用具有前瞻性的技术,该技术受到安全实践的保障,不会危及企业、其数据或客户的数据。
Jones表示,首席信息官和首席信息安全官不能孤立地看待自己,他们必须明白,虽然可能有不同的目标,但他们走的是同一条路。他说,“这两个职位之间的协作和沟通是现代企业中的关键。首席信息安全官和首席信息官必须合作利用SD-WAN、SASE和零信任等技术和方法,以支持这些新的安全、高效的工作方式,并且不会影响可用性。”他补充说,首席信息安全官和首席信息官也必须意识到彼此的约束并在其中运作。
Glover引用了此处涉及的监管问题,强调了国际监管社区中一个新出现的问题,监管机构现在认识到有责任了解其受监管实体提供的网络安全保证水平。他说,“同一受监管行业的首席信息官和首席信息安全官之间需要加强合作。监管机构会做他们认为正确的事情,但通常会从自身的角度看待问题。这种积极的影响与首席信息官和首席信息安全官的历史角色大不相同,但是,如果谨慎而富有同情心地进行,将降低业务成本,让更多资源集中在控制而不是报告上,并通过展示对业务的真正理解以及降低成本和提高效率的必要性,提高首席信息官和首席信息官在企业中的地位。”
Lee补充说,网络安全在业务运营中的发展作用正在改变首席信息官和首席信息安全官之间的凝聚力,这是他在Zoom公司亲身体验过的。他说,“我们都必须优先考虑网络安全,并应对日益增加的威胁。而在做出任何决定时,安全性必须是我们的首要考虑因素。保持参与彼此的战略和关键举措至关重要。即使我们认为不需要对方来确保很强的一致性,也会不断地在策略中相互参与。这意味着我们的角色比过去更紧密地联系在一起,使得协作变得更加重要。”
网络安全所有权的未来
展望未来,专家预测首席信息安全官和首席信息官的网络安全职责将发生显著变化。Finch说,“我们将看到首席信息官和首席信息安全官努力使安全成为具有一致性标准、行为和执行的可信赖来源承担同样重要的责任,就像法律、医学和会计等职业一样。”
Zscaler公司首席信息安全官Marc Lueck认为,首席信息官在未来几年将有一段有趣的网络安全之旅。他指出,“或者他们擅长平衡成本和收益模式这两种截然不同的基本服务,或者首席信息官将负责IT安全交付,由不再向他们报告的首席信息安全官管理并可能执行。这两种模式都将存在,而且只要合适的人担任这些角色,两者都会取得成功。”对于首席信息官而言,网络安全失败并不令人难忘,但对于首席信息官而言,网络安全将变得与效率和成本削减技能一样重要。
Pollard补充说,就像现代业务部门通过SaaS平台承担一些传统IT职责一样,首席信息官将更有责任在业务部门内寻找安全专家。他补充说,“这些专家不仅需要知道如何保护所使用的特定技术,还需要了解对特定业务部门构成最大风险的威胁的态势感知。”
Glover预测,首席信息官和首席信息安全官的共同职责将在第三方连接和并购领域发生变化,双方都需要共同努力建立有意义的流程,以增加安全性和保障。他说,“他们将共同努力,以确保他们成为企业内重大举措的一部分,并在他们之间拥有力量和权威,就第三方关系以及收购和合并做出明智和深思熟虑的声明。”
