首席信息安全官的真正角色—将技术理解与说服艺术相结合
51CTO社区编辑加盟指南,欢迎关注!
1.首席信息安全官角色的基本要素是什么?
每个人对首席信息安全官(CISO)这个职位都有着不同的看法,但人们通常谈论的是监督企业安全计划的管理人员。最初的看法是,首席信息安全官专注于使用安全技术阻止对企业的违规行为,尽管这是其工作的一部分,但首席信息安全官的作用远不止于此。
首席信息安全官的角色根据企业的情况而有所不同,具体取决于他们的需求。其工作范围可能包括安全治理和合规性、隐私、产品安全,甚至物理安全。但在寻求功能之间的协同作用时,物理安全经常被人忽视。
网络安全和物理安全都具有共同的主题,并且都受益于高水平的态势感知。对数字信息的威胁通常类似于对个人或设施的威胁,而物理安全事件也可以迅速演变为信息安全事件。这就是首席信息安全官和更广泛的企业促进物理和网络安全实践之间的联系至关重要的原因。
除了在不同的安全领域拥有足够的技术和知识之外,首席信息安全官还负责弥合技术与人员之间的差距。帮助非技术业务领导者了解应该做出复杂技术决策的原因,可以使这些领导者成为安全的拥护者。
2.成为成功的首席信息安全官所需的主要能力是什么?
对任何首席信息安全官或安全领导者来说,必不可少的两种能力是亲和力和适应性。从本质上来说,安全专业人员需要能够与他人密切协作并适应变化。
如果将首席信息安全官的职责分解到其基本层面,它是一种基于说服的职能,并依赖于强大的协作技能。首席信息安全官的工作是召集各级利益相关者(企业董事会成员、高管领导层和所有员工)成为安全倡导者和从业者。首席信息安全官还应该阻止违规行为,虽然这是他们的目标,但如果企业的每个人都不尽自己的一份力量,那么他们就无法做到这一点。这可能意味着改变对企业构成安全风险的根深蒂固的行为,这需要时间、同理心以及对共同目标的强烈认同。安全团队可能会部署其想要的所有工具和流程,但如果员工没有正确地做事的话,这些目标都难以实现。
作为这一角色的一部分,首席信息安全官面临着一项艰巨的任务,即说服企业的每个利益相关者以统一积极的态度对网络安全进行投资——无论是在财务上还是在个人方面。首席信息安全官必须找到一种方式,以显示对业务进行支持的方式传达其优先事项。
协作是任何一个安全实践成功的关键因素,因此建立一个具有各种不同技能、相互补充的安全团队将极大地增强业务活力。首席信息安全官不必拥有计算机科学学位,也不必拥有丰富的以技术为中心的职业道路。重要的是,他们需要与业务合作伙伴产生共鸣,并找到一条正确前进的道路,通过保护企业的信息资产帮助他们取得成功。
3.人为因素与技术要求的契合度如何?
不言而喻,人员是安全计划获得成功的基础,人为因素是首席信息安全官在安全方面应该关注的重点。技术在安全领域当然很重要,但随着新的威胁和对策在网络安全方面的不断斗争,技术也在不断变化和发展。
首席信息安全官还需要花费时间向他们的利益相关者宣传这些对策。零信任就是一个很好的例子。虽然听起来很新颖且具有创新性,但这个概念已经存在了几十年——这不是魔术,而只是安全常识。但是,尽管零信任对安全从业者来说听起来很酷,但最终用户可能有不同的看法。研究发现,32%的企业安全领导者表示,如果实施零信任策略,担心员工会认为企业不信任他们。他们认为,首席信息安全官应该认识到何时以及如何管理这样的观念以充分利用他们的技术战略。
4.对首席信息安全官有何建议?
有人说,“对于一名首席信息安全官来说,如果没有人对他大喊大叫,那么他可能没有做好自己的工作。”尽管这听起来很极端,但它是真实的。他们的工作是进行变革,这并不总是一个简单的过程,并且可能会在这一过程中会惹恼一些人。但为了提高企业的最佳安全性,首席信息安全官必须表明立场,让员工走出他们的舒适区。
虽然首席信息安全官在遭遇网络攻击事件之后可能成为替罪羊,但人们仍然期望首席信息安全官能够防止违规行为,但在出现问题时可能会指责他们。为此建议安全专业人士不要将这样的情况视为个人行为——数据泄露是不可避免的,实际上可以为所有相关人员提供宝贵的经验和教训。在现代企业中有如此多的活动,首席信息安全官不可能每次都能成功阻止网络攻击事件。与其相反,应该将关注重点放在从这些事件中吸取教训,并进行调整以防止下一次网络攻击;他们还应该了解这些事件可能对其团队成员造成的影响,并讨论对于安全事件反应的心理和情绪,以及如何在行动中保持乐观。
最后,首席信息安全官改变安全态度的使命只有在企业其他成员愿意倾听的情况下才能成功。虽然教育和说服是安全团队的工作,但重要的是其他人也要参与进来。在企业内部开展协作是构建防御和抵御网络攻击和安全威胁的最佳方式。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
研究显示,圣诞期间的的撞库攻击将激增
51CTO社区编辑加盟指南,欢迎关注! WOT全球技术创新大会2022,门票6折抢购中!购票立减2320元!--> Arkose Labs 的一项研究显示,在过去12个月内,发生了超过 20 亿次的撞库攻击 (2,831,028,247),相比去年暴增98%,并预计将在即将来临的圣诞节购物月达到顶峰。 2021 年上半年,撞库占所有在线流量的 5%,这是攻击者近来常用的网络攻击方法,用于未经授权访问受害者者的个人帐户。 通常,攻击者获取受害者帐户后,会通过多种方式将其“货币化”,包括耗尽账户的资金、窃取和转售个人数据、出售已知的经过验证的用户名和密码组合列表,以及使用被盗账户来进行洗钱活动。攻击通常利用人们在多个站点上重复使用相同的用户名或密码组合。 在过去几年中,撞库已被反欺诈组织确定为一种日益增长的威胁趋势。近几个月来,由于新冠疫情大流行和网上购物的增长,撞库攻击行为迅速激增。 据研究分析师称,去年圣诞节和新年购物期间的撞库事件增加了 56%,预计 2021 年同期每天将有多达 800 万次针对消费者的攻击。 2021 年上半年,Arkose Labs 网络检测并阻止了 2.85 ...
- 下一篇
Log4J 相关漏洞加入美国国土安全局 DHS 漏洞赏金计划
51CTO社区编辑加盟指南,欢迎关注! WOT全球技术创新大会2022,门票6折抢购中!购票立减2320元!--> 美国网络安全和基础设施安全局 (CISA) 主任 Jen Easterly 和国土安全部部长 Alejandro Mayorkas 宣布扩大其“Hack DHS”漏洞赏金计划,现在与 Log4j 相关的漏洞也包含在此计划中。 Hack DHS 是美国国土安全部 (DHS)在12月14日推出的一项漏洞赏金计划,旨在识别某些 DHS 系统中潜在的网络安全漏洞,并提高该部的网络安全性能。所有经过审查的网络安全研究人士,都可以受邀访问特定的外部 DHS 系统,查找其中的漏洞并向 DHS 汇报,然后根据漏洞的重要性领取 500 ~ 5000 美金的报酬。有意思的是,一旦有黑客完成对 DHS 外部系统的漏洞评估,他就会被邀请去 DHS 参加现场直播的黑客事件,重现他们利用漏洞的过程。 看起来 Hack DHS 是一个相当靠谱的计划:利用民间力量优化政府系统的安全性和稳定性,避免出现政府数据泄露的问题。值得一提的是,此计划是一个长期计划,预计在 2022 年分三个不同阶段进行。它甚至有...
相关文章
文章评论
共有0条评论来说两句吧...