过去几年里,CISO的角色不再只是专攻开发、部署与维护信息安全项目,以及保护公司存储和处理的所有数据,而如今的CISO角色更加多元和完整。【编者按】谈到数据泄露,总有人要为之负责,要么是CISO,要么是CIO,要么是CEO。一旦发生数据泄露,客户或其他利益相关者就会在与该公司打交道时要谨慎得多;而处理安全合规事故往往意味着要做出极为艰难的决定。问题是:这其中,CISO的位置在哪里?
首席信息安全官(CISO)的角色职能无疑正在改变。这一角色如今不仅仅要担负更多责任,与之相关的风险的增加也将这一职位拉入了公司董事会及整个公司的聚光灯下。
如今我们随随便便就能回想起来的大量数据泄露案例表明网络安全失误有可能是致命的;重大数据泄露摧毁的不仅仅是公司的业务,还有公司声誉、品牌和未来。
尽管如今CISO的风险人尽皆知,无数公司企业越来越意识到聘用专人负责处理网络威胁的价值——无论这是因为他们拥有正确的信息安全思维,还是因为合规、风险和监管的压力越来越大。
如今的CISO角色更加多元和完整,要识别整个公司的风险,提升员工对数据泄露影响的认知,还要直接向董事会而不是CIO或CTO报告,其视野和责任都增加了。
过去几年里,CISO的角色已经超越了其传统职能和核心任务,不再只是专攻开发、部署与维护信息安全项目,以及
虽然各家公司对CISO的要求不同,但非常了解公司全局风险是CISO必备素质。想要跟上不断发展演变的威胁态势,就得持续管理和维持对新威胁的识别和部署好新的规程。
良好的沟通能力和对不同受众的理解能力也是关键,向不懂技术的董事会解释威胁或解决方案没用,让董事会站在支持网络安全工作的一边才是重点。董事会想要听到的是经济影响,CISO不应该对网络安全事件的经济后果避而不谈。摒弃不必要的技术术语也是CISO应具备的一项基本素质,因为董事会需要充分了解网络风险如今影响重大,需要投以必要的时间与关注。
大量攻击技术不仅仅能渗透公司网络,还会摧毁公司网络。因此,公司企业必须认真思考落脚于数据上的信息保障(IA)。只有理解了数据泄露的敏感性和风险,CISO才能真正关注保护数据本身的技术决策而不仅仅是承载数据的网络——因为网络被入侵时真正面临风险的是数据,而我们都知道数据泄露的后果。
必须要让公司里各个角色各司其职。职责划分能避免各角色间相互掣肘,推升问责度,减少潜在错误,避免非必要人员访问网络设备的安全配置。这种职责上的划分也需要通过采用叠加安全状态从技术本身加以实施,要具备扩展到所有自有或非自有网络的灵活性和敏捷性,同时确保网络调整或被黑时对安全状况没有任何影响。每个CISO都应深刻理解这一点的重要性。
虽然正确的安全思维必须由上而下,实际上这一思维还需根植到公司内所有安全操作中;不仅仅是安全团队要具备,法律、财务甚至市场营销部门都需要有安全思维。保护整个公司网络安全的责任落在CISO身上,但网络安全失败的灾难性风险意味着董事会应充分考虑网络安全事宜,将之作为实现业务目标的首要任务来做。
