超越桌上的賭注:CISO Ian Schneller談網(wǎng)絡(luò)安全中不斷演變的角色
當(dāng)Ian Schneller在20世紀(jì)90年代初進(jìn)入職場(chǎng)時(shí),網(wǎng)絡(luò)安全才剛剛成為企業(yè)內(nèi)部的一項(xiàng)職能,這是一項(xiàng)專門的職能,主要是以技術(shù)能力發(fā)揮作用,挫敗對(duì)本企業(yè)的攻擊,并在某種程度上挫敗對(duì)客戶的攻擊。Schneller回憶道:“這就是我們的職責(zé)所在,抵御攻擊者的持續(xù)攻擊,保護(hù)企業(yè)的系統(tǒng)、信息和服務(wù),這是一個(gè)非常技術(shù)性的角色,在許多情況下,它是從內(nèi)部工作的人發(fā)展而來(lái)的,可能是系統(tǒng)管理員,也可能是開發(fā)人員,或者是具有非常技術(shù)背景的人?!?/p>
從那時(shí)起,Schneller在安全運(yùn)營(yíng)部門一步步晉升,現(xiàn)在擔(dān)任醫(yī)療保健服務(wù)企業(yè)(HCSC)的CISO。2023年,他成為第一個(gè)在Dallas CIO新設(shè)立的CISO類別中獲得Orbie獎(jiǎng)的CISO,這一成就突顯了Schneller在創(chuàng)造創(chuàng)新的工作環(huán)境和維護(hù)整個(gè)企業(yè)敏感信息和系統(tǒng)的完整性方面的成功。隨著他的崛起,他見證了他的領(lǐng)域的演變。到2017年,70%的財(cái)富500強(qiáng)企業(yè)已經(jīng)雇傭了CISO,而且這個(gè)數(shù)字還在不斷攀升。
無(wú)數(shù)的CISO監(jiān)管著大型和復(fù)雜的企業(yè),這些企業(yè)管理著構(gòu)成安全企業(yè)的所有活動(dòng),這些活動(dòng)不僅涉及國(guó)防的技術(shù)方面。
數(shù)據(jù)支持了Schneller關(guān)于CISO角色發(fā)生了多大變化的觀點(diǎn),例如,Splunk最近的一項(xiàng)調(diào)查觀察到,“86%的CISO表示,自從他們開始工作以來(lái),他們的角色發(fā)生了很大變化,這幾乎是一份不同的工作。”
以下是Schneller認(rèn)為,在目前的情況下,CISO需要遵守的五個(gè)關(guān)鍵原則:
1.認(rèn)識(shí)CISO角色的職責(zé)
Schneller說(shuō),認(rèn)識(shí)到今天的角色是多么全面,是成為或找到強(qiáng)大的CISO的第一個(gè)宗旨。在早期,CISO保護(hù)他們的企業(yè)和客戶就足夠了,而且大多數(shù)情況下他們可以自己做到這一點(diǎn)。今天,為了保護(hù)企業(yè),CISO必須與整個(gè)企業(yè)的領(lǐng)導(dǎo)者進(jìn)行協(xié)調(diào),在某種意義上,還必須與每一位員工進(jìn)行協(xié)調(diào)。
“它不再是一個(gè)豎井,”Schneller說(shuō),“保護(hù)企業(yè)只是他們必須具備的能力之一,他們還必須能夠招聘人才,倡導(dǎo)網(wǎng)絡(luò)安全投資,評(píng)估收購(gòu),保護(hù)品牌,并引導(dǎo)合規(guī),而合規(guī)已經(jīng)擴(kuò)大,簡(jiǎn)而言之,這是關(guān)于成為一名商業(yè)領(lǐng)袖的問題?!?/p>
2.負(fù)責(zé)任地增長(zhǎng)
Schneller的第二個(gè)信條“負(fù)責(zé)任地增長(zhǎng)”反映了應(yīng)該指導(dǎo)現(xiàn)代CISO的兩種態(tài)度?!柏?fù)責(zé)任”背后的態(tài)度是更加傳統(tǒng)和明顯的:保護(hù)企業(yè),然而,“增長(zhǎng)”承認(rèn)CISO角色的演變,它的責(zé)任是實(shí)現(xiàn)和推動(dòng)企業(yè)的增長(zhǎng)。
Schneller說(shuō):“你的企業(yè)面臨著巨大的壓力,需要通過創(chuàng)新來(lái)實(shí)現(xiàn)增長(zhǎng),這項(xiàng)創(chuàng)新可能是購(gòu)買并整合一種將為客戶服務(wù)的新技術(shù),它可能是與你的應(yīng)用程序開發(fā)人員一起自己構(gòu)建的。無(wú)論它是什么,他們都面臨著開發(fā)它的壓力。當(dāng)戰(zhàn)略形成時(shí),CISO需要坐在談判桌前,理解為什么會(huì)有創(chuàng)新在那里,并知道企業(yè)將在有或沒有你參與的情況下部署它。最糟糕的情況是,你擋住了路。當(dāng)一個(gè)產(chǎn)品準(zhǔn)備好了,它也應(yīng)該是安全的。”
Schneller說(shuō),在談判桌上坐一坐是最起碼的。同樣重要的是了解企業(yè)打算如何發(fā)展,并建立合作伙伴關(guān)系,以消除孤島并確保安全不會(huì)成為流程中假定的一部分,從而使CISO和其他領(lǐng)導(dǎo)者保持一致。安全變成了文化,因?yàn)樗菓?zhàn)術(shù)的?!爱?dāng)企業(yè)準(zhǔn)備好部署這一新功能時(shí),它就準(zhǔn)備好了,而且它是安全的,因?yàn)閳F(tuán)隊(duì)是共同結(jié)盟的。”
3.維護(hù)你的聲譽(yù)
Schneller的第三個(gè)信條是取得平衡。一方面,保護(hù)你的聲譽(yù)——或者首先建立它——需要透明度,特別是在安全方面。他說(shuō),安全已經(jīng)變得如此重要,以至于它已經(jīng)成為許多交易的障礙:“我們經(jīng)常在B-to-B交易中聽到這一點(diǎn),CISO將被要求打電話給客戶的CISO或CIO,這樣我們就可以就安全問題進(jìn)行一些實(shí)質(zhì)性的討論?!?/p>
Schneller強(qiáng)調(diào),這也是現(xiàn)代CIO必須能夠?qū)Ш秸麄€(gè)企業(yè)及其業(yè)務(wù)活動(dòng),而不僅僅是工作的技術(shù)方面的原因?!斑@其中很大一部分是高管在場(chǎng)的觀點(diǎn),能夠傳達(dá)影響,并擁有幫助另一個(gè)利益相關(guān)者的實(shí)際手段,而且你必須能夠足夠靈活地與銷售和法律團(tuán)隊(duì)合作,這樣你就不會(huì)過度承諾?!?/p>
另一方面,如果管理不當(dāng),透明度可能會(huì)對(duì)你不利?!艾F(xiàn)在世界上其他國(guó)家都意識(shí)到了你的安全能力,這真的是關(guān)于理解。首先,透明度可以幫助不好的行為者洞察你的安全姿態(tài)。他們可能會(huì)設(shè)法做到這一點(diǎn),例如,通過審查你企業(yè)的記分卡,如果企業(yè)有記分卡并已將其公開提供的話,或者,這些參與者可能對(duì)你所在行業(yè)通常遵循的協(xié)議有所了解?!?/p>
Schneller說(shuō),無(wú)論如何,你都需要知道這些原因,你不能為你沒有意識(shí)到的東西辯護(hù),首先,你應(yīng)該知道不良演員可能會(huì)把你的企業(yè)作為攻擊目標(biāo)的原因,它是不是剛剛贏得了一個(gè)備受矚目的客戶?它是不是剛剛跨過了某個(gè)重要的流動(dòng)性里程碑?不要只是勾選安全盒,還需要了解壞人的思考方式。
4.保護(hù)你的生態(tài)系統(tǒng)
所有這一切背后都有一個(gè)重要的事實(shí):貴企業(yè)的網(wǎng)絡(luò)安全不僅依賴于你自己的防御,而且依賴于你生態(tài)系統(tǒng)中每個(gè)人的防御,特別是考慮到其中許多參與者將至少在一定程度上訪問你和你客戶的信息。“如果這個(gè)生態(tài)系統(tǒng)不安全,”Schneller說(shuō),“違反你的虛擬或?qū)嶓w法律可能會(huì)直接影響你的企業(yè)或你的客戶?!被蛟S沒有比劍橋分析企業(yè)的崩潰更好的例子了。到塵埃落定時(shí),Meta已經(jīng)支付了近60億美元,這并沒有說(shuō)明他們的非貨幣損失。直到今天,這一漏洞仍然困擾著他們的品牌。
你如何影響一家不是你經(jīng)營(yíng)的企業(yè)?“集體防御的概念在這里非常重要,”Schneller說(shuō),“你如何在行業(yè)、公用事業(yè)部門企業(yè)內(nèi)合作,共同協(xié)作地提高整個(gè)行業(yè)的防御能力?”這又一次讓人回想起第一支柱,這是CISO必須具備超越工作技術(shù)層面的能力的另一個(gè)原因。
5.培養(yǎng)你的安全才能
Schneller鼓勵(lì)他的受眾考慮網(wǎng)絡(luò)人才的需求和供應(yīng)之間的差距。“讀一讀任何一種公共媒體,”他說(shuō),“盡管數(shù)字可能有一點(diǎn)不同,但它們是一致的,因?yàn)橛袔资畟€(gè),如果不是數(shù)十萬(wàn)個(gè)公開的網(wǎng)絡(luò)職位的話?!备鶕?jù)Statista的數(shù)據(jù),去年2月,僅在美國(guó)就有大約75萬(wàn)個(gè)網(wǎng)絡(luò)職位空缺。根據(jù)世界經(jīng)濟(jì)論壇的數(shù)據(jù),全球這一數(shù)字約為350萬(wàn),根據(jù)《網(wǎng)絡(luò)犯罪》雜志的數(shù)據(jù),這種差距預(yù)計(jì)至少將持續(xù)到2025年。正如Schneller指出的那樣,這意味著企業(yè)將很難吸引網(wǎng)絡(luò)人才,他們將不得不在非傳統(tǒng)領(lǐng)域?qū)ふ胰瞬拧?/p>
有很多吸引安全人才的策略——讓薪酬與重要的東西保持一致,確保你有明確的職業(yè)發(fā)展道路——但所有這些都?xì)w結(jié)為Schneller強(qiáng)調(diào)的一個(gè)更廣泛的點(diǎn):品牌。你的企業(yè)必須表明,它認(rèn)真對(duì)待網(wǎng)絡(luò)安全,它將為網(wǎng)絡(luò)安全人才提供一種文化,在這種文化中,他們可以解決具有挑戰(zhàn)性的問題,推進(jìn)自己的職業(yè)生涯,贏得尊重,為企業(yè)的成功做出貢獻(xiàn)。不要假設(shè)網(wǎng)絡(luò)人才知道你的企業(yè)重視這些品質(zhì)?!叭绻阍谝患掖筱y行,”他說(shuō),“人們可能不會(huì)認(rèn)為你是一個(gè)發(fā)展網(wǎng)絡(luò)事業(yè)的地方,但實(shí)際上,他們擁有龐大的網(wǎng)絡(luò)安全團(tuán)隊(duì)?!?/p>
首先到哪里去找人才呢?非傳統(tǒng)來(lái)源是什么?Schneller傾向于兩個(gè),首先是軍隊(duì)?!拔沂抢媳心嫉蔫F桿粉絲,退伍軍人在網(wǎng)絡(luò)安全方面擁有很高程度的培訓(xùn)和經(jīng)驗(yàn),可以為你的企業(yè)做出偉大的貢獻(xiàn)?!痹S多商界領(lǐng)袖稱贊退伍軍人是員工,像Sophos這樣的一些企業(yè)甚至運(yùn)營(yíng)著自己的退伍軍人網(wǎng)絡(luò)安全項(xiàng)目。僅在2023年,軍方就在網(wǎng)絡(luò)安全項(xiàng)目上投資了112億美元。
第二個(gè)資源是高中、社區(qū)和附屬大學(xué),這些機(jī)構(gòu)塑造了大量畢業(yè)生,他們擁有在網(wǎng)絡(luò)安全領(lǐng)域出類拔萃所需的所有技能和雄心。Schneller提醒說(shuō),更重要的是正確的證書,或者更廣泛地說(shuō),正確的教育,在它到來(lái)之前,你可以幫助塑造并發(fā)展你的才華?!拔夜膭?lì)CISO找到你們當(dāng)?shù)氐拇髮W(xué),并加入他們的顧問委員會(huì),”Schneller說(shuō),“設(shè)立這門課程,幫助指導(dǎo)學(xué)生?!?。
一年比一年快,網(wǎng)絡(luò)安全變得更加復(fù)雜和復(fù)雜,不好的行為者會(huì)發(fā)現(xiàn)新的漏洞進(jìn)行攻擊,并使用新的工具進(jìn)行攻擊,因此,CISO的企業(yè)將變得更加復(fù)雜和復(fù)雜,因此CISO只有在很大程度上依靠上述原則才能成功地指導(dǎo)企業(yè)?!癈ISO必須是一位企業(yè)領(lǐng)導(dǎo)者,”Schneller說(shuō),“他是一位能夠駕馭整個(gè)企業(yè)的高管。”