近日,英国Nominet公司发布了一份关于企业信息安全高管的调查报告——《墙内的生活,解读当代CISO》。网络安全对公司的品牌和收入做出了重大贡献。但也有相当多的高管认为,CISO正在通过确保企业安全运行来为企业创造价值。直接增加企业收入。正如麻省理工学院斯隆管理学院(CAMS)网络安全执行主任KeriPearlson所指出的:“在这个新时代,我们看到了很多CISO为组织带来价值的机会。”意见,重点关注CISO主导的网络安全业务可以为企业数字竞争力带来的十大价值:1.提高整体企业数据的可管理性和效率毕马威全球网络安全实践联席主管TonyBuffomante表示,因为CISO在整个组织中具有可见性,他们有机会带来安全服务之外的增值服务。他引用了毕马威与一家大型金融机构的首席信息安全官合作评估其数据风险的案例。在进行评估时,CISO发现许多位于多个位置的已收集数据和数据资产未被使用。作为风险和安全评估的一部分,CISO和KPMG首先对数据元素进行评分。然后他们记录数据新近度是否对竞争优势有用,数据是否存储在多个地方,以及数据是否在多个地方使用。CISO还与IT部门分享了他的见解,消除了冗余并减少了数据足迹,此举不仅为公司节省了大量现金,还降低了安全风险。同时,公司市场部利用CISO对数据的洞察,开展更精准、更有针对性的营销工作。Buffomante解释说:“是CISO带来了对数据的洞察力,帮助企业的业务部门思考如何让数据更有价值。”经常发现系统和协议中存在的漏洞。事实上,他们也可以做同样的事情来帮助企业找到业务流程和政策中的漏洞,从而为组织带来更多价值。GregoryTuhill是奥巴马政府期间的第一位联邦政府CISO,也是卡内基梅隆大学亨氏信息系统和公共政策学院的兼职教授,他说:“我们所有的CISO和企业高管都应该接受的好主意:CISO可以使整个企业更好。”在一个咨询案例中,Touhill的一名安全分析师捕获并调查了异常活动,这些异常活动最终归因于新的员工审核和入职培训。入职流程,”Touhill说。当然,要引起其他高管的注意,CISO需要使用他最好的外交技巧,正如Touhill指出的那样,“你应该让组织出面解决这个问题。”3.找到多余的支出CISO擅长在企业中发现并消除多余的冗余技术资产,以免它们构成安全风险,但资深安全主管GeneFredriksen表示,安全领导者可以识别不必要的技术支出,帮助组织控制预算。“基于云的服务器现在都很好用,但是每次有人开云服务器,业务都需要付费。所以,如果有licenseaudit,exe客户们常常被各种多余的开支吓倒。国家信用合作社信息共享和分析组织(NCU-ISAO)执行董事兼PureITCreditUnionServices网络安全负责人GeneFredriksen说。4.提供知识产权保护技能OutSecureInc.总裁兼网络安全女性组织(WiCyS)成员PamelaGupta表示,识别未受保护的知识产权“通常不是CISO的职责,但CISO可以在这方面发挥作用空间。”Gupta曾与一位CISO合作,后者的任务是加强对公司财务和信用卡数据的控制,但在此过程中,他发现有必要提高公司知识产权的安全性。“我发现,即使是大型组织也没有采取基于风险的方法来保护知识产权,并在整个组织范围内覆盖和连接这种保护,”古普塔说,并补充说,基于风险的安全意识培训有助于更好地识别和保护知识产权。这是CISO可以为企业提供的高价值服务。5、安全是产品,安全是卖点。安全如何创造价值?其实,安全本身就是价值。KeriPearlson博士指出:无论是消费者从电商平台购买智能家电,还是企业高管与供应商洽谈合同,大家都希望与一家安全可靠的企业合作。更重要的是,消费者和企业都越来越关注产品和企业的安全能力。Pearlson补充说:“企业可以声称自己是高安全性的,这本身就可以产生收入。”这为CISO提供了机会。“如果CISO可以向你证明你的公司或产品更安全,这本身就是一个开展业务的战略机会,”在一家组装数字组件的产品公司工作的Pearlson说。其CISO已将其工作范围从保护内部系统扩展到开发产品的安全功能。“CISO抓住机会参与产品开发层面,”她补充道。“这不是CISO的传统角色,但CISO实际上可以在这里发挥很大的作用,尤其是在企业的数字化转型中。一切都有数字成分并带来数字风险。”6.建立桥梁与CIO和CFO同行一样,CISO在整个企业内工作,因此有机会在整个企业内建立关系。这让CISO成为大使,BrennanP.Baybeck说,他是一位经验丰富的安全主管,也是致力于IT治理的专业协会ISACA的前任主席。他指出,CISO的工作范围几乎遍及执行和战略领域——从数据相关问题到法律、隐私和治理以及安全。他们的任务是与许多其他合作伙伴一起寻找解决方案。“CISO能够看到需要改进的地方并协调公司内部的资源,”Baybeck说,他也是Oracle客户服务的CISO。他建议首席信息安全官利用这种经验充当跨职能的调解人,并通过打破孤岛和在部门之间建立网络来帮助企业更好地管理风险。7、帮助合作伙伴弗雷德里克森(Fredriksen)认为,面对日益严峻的供应链安全问题,CISO们有很多机会与企业的商业伙伴合作。他说,作为首席信息安全官,他亲自为供应商和经销商举办安全研讨会,与他们分享安全警报和合规更新。他补充说:“CISO需要分享最佳实践,因为他们在一起可以使彼此变得更好。8.寻找推进标准化的机会IT服务公司GarnetRiverLLC的CISOMichaelD.Weisberg正在为一家大型企业的CISO提供建议,该企业实施了不同的系统来处理来自不同地点的付款。该组织有23事实上,多个不同的平台处理相同的流程不仅给CISO带来了代价高昂的复杂性,也给支持所有这些系统的技术人员带来了代价高昂的复杂性。认识到这些不同的系统给CISO带来的负担,CISO开发了一个统一的框架,对所有系统的安全和技术要求进行了标准化。整个组织和CISO本身都从标准化工作中受益。Weisberg说:“维护标准化功能环境所需的人员越少效率越高,企业可以从中长期受益。9.帮助企业高级管理层制定战略计划随着CISO晋升为执行合伙人,CISO有能力通过就网络安全问题向其CxO执行同行提供建议来推动更多的企业战略计划。TruthInitiative组织的首席信息和网络安全官非营利烟草控制Butts说:“这符合组织的愿景,有助于节省资金并改善整个员工的工作流程。Butz看到了CISO参与的战略工作如何带来回报。他举了五年前一家公司搬迁的例子,尽管设施管理可能看起来不像是CISO的专业领域,但他很早就参与了讨论,并最终影响了新办公设施的设计。网络基础设施巴茨建议他的同事在网络基础设施中增加功能,以支持大量远程工作并为其提供安全保障,他还说服了其他高管,该计划将确保巴茨参与该计划的价值在COVID-19月19日大流行来袭,他公司的员工几乎无缝且快速地过渡到远程工作环境。“我们没有e重新评估并引入新系统以支持远程办公。我们已经做好了准备,所以业务完全不会受到(疫情)的影响。”巴茨补充道。10.简化的监管控制随着国家立法者和私人实体制定越来越多的安全和隐私法规(例如《加州消费者保护法案》),企业必须实施自己的控制以遵守法规。然而,由于监管不断增多、重叠,往往导致“见招拆招”的管控及相关流程复杂冗余。云计算提供商Fastly的首席信息安全官MikeJohnson表示,由于安全领导者涉及各种监管义务,他们通常可以找到简化这些控制的方法。“CISO可以通过简化与安全相关的操作和合规性来为企业增加价值,”他说。降低合规成本可以为企业创造巨大的价值。请注意,繁重的手动流程意味着高现金和机会成本,而自动化(和其他改进)确实可以为整个企业带来红利。》【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信?id:gooann-sectv)获得授权】点此阅读更多作者好文
