1.首席信息安全官角色的基本要素是什么?每个人对首席信息安全官(CISO)的角色都有不同的看法,但人们通常谈论的是监督公司安全计划的管理者。最初的看法是,CISO专注于使用安全技术来阻止对业务的破坏,虽然这是他们工作的一部分,但CISO远不止于此。首席信息安全官的角色因企业而异,具体取决于他们的需要。他们的工作范围可能包括安全治理和合规性、隐私、产品安全,甚至物理安全。但在寻求功能之间的协同作用时,物理安全性往往被忽视。网络安全和物理安全都有共同的主题,并且都受益于高水平的态势感知。对数字信息的威胁通常类似于对个人或设施的威胁,物理安全事件也可以迅速演变为信息安全事件。这就是为什么CISO和更广泛的企业在物理和网络安全实践之间建立联系至关重要。除了在不同的安全领域拥有足够的技术和知识外,CISO还负责弥合技术与人之间的鸿沟。帮助非技术业务领导者理解为什么应该做出复杂的技术决策可以使这些领导者成为安全的拥护者。2.成为一名成功的CISO所需的主要能力是什么?亲和力和适应性是任何CISO或安全领导者必不可少的两项能力。从本质上讲,安全专业人员需要能够与他人密切合作并适应变化。将CISO的职责分解到其基本级别,它是一个基于说服的职能,并依赖于强大的协作技能。CISO的工作是召集各级利益相关者(公司董事会成员、行政领导和所有员工)成为安全倡导者和实践者。CISO也应该阻止违规行为,虽然这是他们的目标,但如果企业中的每个人都不尽自己的一份力量,他们就无法做到这一点。这可能意味着改变对业务构成安全风险的根深蒂固的行为,这需要时间、同理心和对共同目标的坚定承诺。安全团队可能会部署它想要的所有工具和流程,但如果员工做得不对,这些目标都无法实现。作为这一角色的一部分,CISO面临着一项艰巨的任务,即说服企业中的每个利益相关者以统一和积极主动的态度投资网络安全——包括财务和个人方面的投资。CISO必须找到一种方式,以一种看似支持业务的方式来传达他们的优先事项。协作是任何安全实践成功的关键因素,因此建立一支具有多种技能、相互补充的安全团队将极大地增强业务活力。首席信息安全官不必拥有计算机科学学位或拥有丰富的以技术为中心的职业道路。重要的是,他们需要同情他们的业务合作伙伴,并找到一条前进的道路,通过保护企业的信息资产来帮助他们取得成功。3.人为因素与技术要求的契合度如何?不言而喻,人是安全计划成功的基础,人的因素应该是首席信息安全官在安全方面关注的重点。技术在安全领域当然很重要,但随着新的威胁和对策继续与网络安全作斗争,它也在不断变化和发展。CISO还需要花时间就这些对策对利益相关者进行教育。零信任就是一个很好的例子。虽然听起来很新颖,但这个概念已经存在了几十年——它不是魔法,只是常识。但是,虽然零信任对安全从业者来说听起来很酷,但最终用户可能会有不同的看法。该研究发现,32%的企业安全领导者表示担心,如果员工实施零信任策略,他们会认为企业不信任他们。他们认为,CISO应该认识到何时以及如何管理这些看法,以充分利用他们的技术战略。4.给CISO的建议?有人说,“对于一名CISO,如果没有人对他大吼大叫,他可能没有做好自己的工作。”虽然听起来很极端,但却是真实的。他们的工作是做出改变,这并不总是一个容易的过程,并且会在过程中激怒一些人。但为了促进企业的最佳安全性,CISO必须站出来让员工走出他们的舒适区。虽然CISO可能是网络攻击后的替罪羊,但CISO仍应防止违规,但在出现问题时可能会受到指责。因此,建议安全专业人员不要将此类情况视为个人行为——数据泄露是不可避免的,实际上可以为所有相关人员提供宝贵的经验教训。现代企业活动如此之多,CISO不可能每次都成功阻止网络攻击。相反,重点应该放在从这些事件中吸取教训并做出调整以防止下一次网络攻击;他们还应该了解这些事件可能对其团队成员产生的影响,并讨论应对安全事件的心理和心理方面。情绪,以及如何对自己的行为保持乐观。最后,CISO改变安全态度的使命只有在企业的其他人愿意倾听的情况下才能成功。虽然教育和说服是安全团队的工作,但其他人的参与也很重要。企业内部协作是防御网络攻击和安全威胁的最佳方式。
