從預(yù)測新威脅到平衡風(fēng)險管理和業(yè)務(wù)支持，CISO面臨一系列復(fù)雜的挑戰(zhàn)，需要不斷反思和戰(zhàn)略執(zhí)行。

隨著首席信息安全官 (CISO) 地位和責(zé)任的提升，其最高安全角色的挑戰(zhàn)也愈發(fā)嚴峻。如今的CISO不僅要持續(xù)評估自身安全態(tài)勢，確定需要做出哪些調(diào)整才能充分保護組織，還必須與業(yè)務(wù)保持一致，以執(zhí)行關(guān)鍵業(yè)務(wù)目標，并將風(fēng)險管理相關(guān)的問題和權(quán)衡利弊置于公眾視野。

在個人責(zé)任成為真正問題的時候，為了履行這一日益復(fù)雜的職責(zé)，首席信息安全官不僅必須不斷評估他們的安全堆棧和態(tài)勢，還必須評估他們的團隊文化、整個業(yè)務(wù)的狀態(tài)和方向，以及他們在確保組織在無數(shù)現(xiàn)有和新興風(fēng)險中蓬勃發(fā)展方面的地位。

在此，思想領(lǐng)袖提出10個最緊迫的問題，安全主管必須回答這些問題，作為其持續(xù)安全戰(zhàn)略和職業(yè)發(fā)展計劃的一部分。

1.是業(yè)務(wù)的推動者還是阻礙者？

全球咨詢公司 Protiviti 的董事總經(jīng)理兼全球安全和隱私負責(zé)人Sameer Ansari表示，安全職能部門可能以“說‘不’的部門”而聞名，因此 CISO 應(yīng)該思考他們和他們的團隊是否名副其實。

“首席信息安全官需要問自己：‘我被視為推動者還是阻礙者？’”他補充道。

安薩里解釋說，如果首席信息安全官發(fā)現(xiàn)高管同事回避他們，或者只在項目進入后期階段才與他們接觸，他們很可能會被視為業(yè)務(wù)目標的阻礙，而不是業(yè)務(wù)成功的推動者。同樣，如果首席信息安全官只是在辦公室閑聊中聽說了新舉措，而不是在規(guī)劃會議上以合作伙伴的身份參與，他們也可能被視為阻礙者。

安薩里指出，那些處于這種情況的人可以扭轉(zhuǎn)局面。

“不要直接拒絕任何想法。要通過咨詢的方式幫助他們做他們想做的事情，并且不帶任何評判，”他解釋道?！耙屍髽I(yè)了解風(fēng)險，并讓企業(yè)自行決定愿意承擔(dān)多少風(fēng)險。或者，如果風(fēng)險超出了組織的風(fēng)險承受能力，就說，‘讓我們升級這個問題。’”

2. 如何才能實現(xiàn)適合我們公司風(fēng)險承受能力的安全平衡？

公共會計和咨詢公司 BPM 的 CISO Vandy Hamidi表示，為了發(fā)揮這種咨詢作用，CISO 也需要提出和回答這個問題。

“我的職責(zé)是降低風(fēng)險，確保企業(yè)在高效服務(wù)客戶的同時，能夠自信地運營。如果我們把一切都鎖定，就會損害業(yè)務(wù)，讓用戶感到沮喪，并失去靈活性。但如果安全措施不足，公司就會面臨違規(guī)、監(jiān)管風(fēng)險和聲譽損害的風(fēng)險?！彼f道?！盀榱巳〉眠m當?shù)钠胶猓覀儗Ｗ⒂诹私馄髽I(yè)的運營方式、優(yōu)先事項、挑戰(zhàn)和員工。這意味著我們需要跨職能合作，不僅要評估技術(shù)風(fēng)險，還要評估運營影響?！?/span>

3. 向董事會提交的正確指標是什么？

Forrester Research 副總裁兼首席分析師Jeff Pollard表示， CISO 需要展示他們?nèi)绾瓮苿訕I(yè)務(wù)發(fā)展，這意味著要確定如何以董事會重視的方式衡量他們的工作。

他說，有關(guān)修補系統(tǒng)數(shù)量、平均響應(yīng)時間和平均補救時間的數(shù)據(jù)并沒有讓董事會有任何理由認為安全有助于推動業(yè)務(wù)發(fā)展。

Pollard 說，CISO 不應(yīng)該使用這些指標，而是應(yīng)該找到能夠體現(xiàn)安全在支持業(yè)務(wù)目標方面所發(fā)揮的作用的指標，以及能夠幫助高管和董事會做出更好決策的指標。

4.網(wǎng)絡(luò)安全對組織意味著什么？

咨詢公司 S-RM 美洲網(wǎng)絡(luò)安全主管Paul Caron表示，CISO 還需要了解安全職能在組織中的位置，以便確定他們是否有權(quán)力影響正確的行動。

“很多時候，首席信息安全官 (CISO) 負責(zé)應(yīng)對眼前的風(fēng)險，但他們真的有能力應(yīng)對這些挑戰(zhàn)嗎？他們會得到相應(yīng)的支持和資源嗎？他們真的有高管層的支持來推動變革嗎？這些都是現(xiàn)在每個 CISO 都需要捫心自問和捫心自問的問題，”他說道。

在“首席信息安全官實際上要對組織未做好應(yīng)對網(wǎng)絡(luò)事件的準備負責(zé)”的時代，卡隆表示，首席信息安全官必須知道他們是否擁有與這種責(zé)任相符的權(quán)力。

“他們應(yīng)該重新評估一個組織如何看待風(fēng)險管理，以及他們在決策層面擁有多少發(fā)言權(quán)。這些都是他們需要非常透明地對待的關(guān)鍵問題，”他說道，并補充道，“一個沒有權(quán)威的CISO是最糟糕的位置?！?/span>

5. 我是否有效地傳達了技術(shù)風(fēng)險？

Protiviti 的安薩里表示，首席信息安全官還應(yīng)該捫心自問，是否能夠以企業(yè)能夠理解的方式描述網(wǎng)絡(luò)安全風(fēng)險。

他發(fā)現(xiàn)安全主管經(jīng)常用技術(shù)術(shù)語談?wù)擄L(fēng)險，但與其他高管談?wù)撛迫萜靼踩缘娜狈蚺渲缅e誤等問題，卻無助于他們了解風(fēng)險所在。

“這會讓每個人都感到困惑。即使在今天，當董事會成員中有更多的人精通網(wǎng)絡(luò)技術(shù)時，他們?nèi)匀粫?，‘這到底是什么意思？’”安薩里說。

他建議 CISO 考慮他們是否真的以企業(yè)能夠理解的方式講述安全和風(fēng)險故事；他建議 CISO 向安全部門內(nèi)外值得信賴的同事尋求反饋以幫助完成這項任務(wù)。

他補充道，這是值得的，因為能夠更好地講述故事的 CISO 能夠更有效地傳達業(yè)務(wù)風(fēng)險，從而為他們帶來更多的權(quán)力、資源和與業(yè)務(wù)目標的一致性。

6.我的團隊是否有權(quán)挑戰(zhàn)我？

沒有任何一個人——即使是 CISO——能夠始終做出最佳決策，因此安全領(lǐng)導(dǎo)者應(yīng)該歡迎有關(guān)其計劃不足之處的信息。

“所以他們必須捫心自問：我的團隊是否有權(quán)挑戰(zhàn)我的決定？我是否鼓勵異議？”安薩里說。

Ansari 建議，如果首席信息安全官們發(fā)現(xiàn)他們的團隊覺得自己不敢暢所欲言，可以通過鼓勵討論、積極應(yīng)對挑戰(zhàn)和征求意見來改善職場文化。Ansari 補充說，簡單地問一句“我需要其他觀點”，就能有所幫助。

7. 我們的客戶希望我們?yōu)榘踩鲂┦裁矗?/span>

Pollard 表示，CISO 正在通過近年來激增的第三方安全問卷了解客戶的安全優(yōu)先事項。這些問題讓 CISO 能夠深入了解客戶關(guān)心的問題，以及他們希望 CISO 所在的組織從安全角度采取哪些行動。

“如果你理解了這一點，你就可以構(gòu)建安全的商業(yè)案例，”他說道，并解釋說，CISO 可以使用某些客戶尋求的安全控制成本以及這些客戶產(chǎn)生的收入來計算安全工作的價值。“CISO 需要弄清楚：有多少客戶向我們提出這樣的要求，以及這些要求帶來的收入是多少？”

8. 該組織的所有數(shù)據(jù)實際上存儲在哪里？

科技公司 Transcend 的常駐 CISO 兼 UnitedHealth Group 前 CISO Aimee Cardwell對提出這個問題的原因有著切身體會，她說道：“經(jīng)驗以最痛苦的方式告訴我，數(shù)據(jù)存在于我從未見過的地方。”

例如，她發(fā)現(xiàn)敏感數(shù)據(jù)隱藏在發(fā)票文件夾、舊影子項目的服務(wù)器和數(shù)據(jù)庫中。她還指出，在公司收購和合并后，首席信息安全官 (CISO) 的數(shù)據(jù)可能存儲在未知位置?！叭缓竽惆讶斯ぶ悄苋谌肫渲校憧赡軙诓恢榈那闆r下泄露數(shù)據(jù)，”她補充道。

瑪麗維爾大學(xué)約翰·西蒙商學(xué)院技術(shù)副院長兼網(wǎng)絡(luò)安全助理教授Brian M. Gant表示，CISO 需要不斷問自己：“組織中最有價值的數(shù)據(jù)在哪里？我們?nèi)绾伪Ｗo它？”以及“王國的鑰匙在哪里？”，以幫助他們解決這個問題并確保他們充分保護敏感數(shù)據(jù)。

全球咨詢公司SSA & Co. 應(yīng)用解決方案負責(zé)人Nick Kramer也建議首席信息安全官 (CISO) 了解自身是否具備必要的洞察力，了解組織非結(jié)構(gòu)化數(shù)據(jù)的存儲位置以及這些數(shù)據(jù)是否得到了適當?shù)谋Ｗo。例如，他建議 CISO 引導(dǎo)組織停止通過電子郵件發(fā)送附件，而是發(fā)送存儲在安全位置的文檔鏈接，將文件從員工設(shè)備轉(zhuǎn)移到相同的安全位置，并實施加密。

9. 人工智能將如何影響我的人員配置？

近年來，首席信息安全官們對其安全團隊進行了培訓(xùn)，以支持業(yè)務(wù)團隊安全地使用人工智能。如今，隨著人工智能在安全部門中日益成為重要的工具，他們需要調(diào)整自身的人員配置策略?！八麄冃枰剿鳎斯ぶ悄軙ξ业膯T工配置產(chǎn)生什么影響？我的組織將如何改變？” Pollard 說。

他表示，首席信息安全官 (CISO) 必須考慮團隊成員如何與人工智能 (AI) 代理協(xié)同工作，以及他們是否已做好有效應(yīng)對的準備。他們還應(yīng)該考慮安全運營中心的人員配置將如何變化。例如，Pollard 表示，人工智能可能會減少對入門級員工的需求，但可能意味著需要更多的二級分析師。如果一級 SOC 分析師崗位的招聘人數(shù)減少， CISO就必須思考如何招聘和培訓(xùn)這些高級分析師。

10. 下一次可能令我感到意外的襲擊是什么？

“下一個漏洞或下一個威脅是什么？”SSA 的克萊默說，這是一個需要提出和回答的關(guān)鍵問題。當然，首席信息安全官們長期以來一直擔(dān)心零日漏洞。他們必須繼續(xù)擔(dān)憂。但他們也需要考慮，不斷演變的攻擊面和日益復(fù)雜的攻擊者可能會幾乎瞬間在他們的安全計劃中制造漏洞。

Transcend駐地CISO卡德威爾表示：“我最大的恐懼始終是我不知道的事情，我會在哪里感到驚訝。”

為了緩解這種擔(dān)憂，瑪麗維爾大學(xué)的甘特建議首席信息安全官們問自己“我的攻擊面是什么？”和“誰在追蹤我，為什么？”，并根據(jù)這些問題的答案制定適當?shù)挠媱潄肀Ｗo數(shù)據(jù)和系統(tǒng)。

根據(jù)FS-ISAC的Denning的說法，另一個需要問的問題是：我是否擁有適合用途且面向未來的防御技術(shù)堆棧？

他補充道：“強大的新工具正在為不法分子提供武器，使其能夠更有效地實施欺詐、勒索軟件和DDoS攻擊等威脅。首席信息安全官需要評估自己是否擁有合適的工具和人才來對抗這些威脅并應(yīng)對新興威脅?！?/span>

例如，Denning表示，CISO應(yīng)該清點他們的加密資產(chǎn)，為量子改變他們所有計劃的那一天做好準備。

Kramer表示，首席信息安全官 (CISO) 需要付出更多努力才能領(lǐng)先于未來。他建議CISO任命專人負責(zé)前瞻性研究，就像CTO通常安排專人研究新興技術(shù)一樣。

“首席信息安全官們都在展望未來，但他們往往在等待其他人弄清楚情況并告訴他們該怎么做，這意味著修復(fù)方案往往取決于一些成功的攻擊，”Kramer 說?！暗缃?，你必須具備實驗的眼光，真正嘗試弄清楚下一步該怎么做，或許可以使用模擬工具來尋找新的攻擊面?！?/span>

來源：PeopleImages.com - Yuri A / Shutterstock