CISO的最新职责:建立信任

来源 :计算机世界 | 被引量 : 0次 | 上传用户:huanghuimin1224
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  首席信息安全官Omar Khawaja的公司Highmark Health大规模改用远程工作环境时,他只有一项重要任务:让员工们能够从任何地方顺利完成工作。
  但为了尽快完成这项任务,Khawaja提议放宽某些控制措施。他这样解释:“我们存在的目的就是成为业务赋能者,因此如果我们阻止业务部门开展要做的工作,那将毫无意义。”
  Khawaja的提议看似很激进,不过他表示自己知道其他剩余的安全层可提供所需的保护。不过,他还是希望高管团队的其他成员与自己一样信心十足。

  他们确实信心十足。
  他说:“我得告诉他们,我们在放宽控制措施,对方的答复是‘如果你进行过分析,觉得这么做是对的,那么我们将全力支持。”
  CISO们发现其角色已发生了变化,从专注于战术部署的管理角色转向注重业务战略和风险管理的行政角色。
  作为这种变化的一部分,CISO们必须在所有利益相关者(客户、合作伙伴、员工、董事会成员及其他高管)当中树立信心,坚信他们和安全团队在制定网络安全决策时牢记本组织的最大利益。
  换句话说,CISO们必须赢得利益相关者的信任。唯有这样,面对不断变化的形势,甚至不同寻常的情况,每个部门开展日常业务时,才坚信安全部门可以始终如一地保护人员、隐私、系统和数据。
  Gene Fredriksen是一名资深的安全高管,现在担任全美信用合作社信息共享和分析组织(NCU-ISAO)的执行董事,兼Pure IT信用合作社服务公司的网络安全负责人。他说:“现在发生了天翻地覆的變化。大家的工作方式不一样,觉得很不适应。因此作为一名安全人员,你得建立起这种信任。这是你工作的一部分,也是公司花钱雇你的目的。”

基本要素


  CISO培养信任的能力不仅仅囿于深奥的讨论或商学院的演练:专家们表示,对于任何想成功履行角色的CISO来说,培养信任都是一个基本要素,因为这项能力使他或她能够落实为本组织确保安全所需的政策、程序和技术,从而向其他人(包括客户)证明他们与该公司的联系很安全。
  IT服务公司Garnet River LLC的首席信息安全官Michael D. Weisberg说:“如果你没有建立信任,那你的动机就会受到质疑。”
  他表示,CISO们需要受到信任,那样“他们举手,对可能危及他们竭力所保护的对象的政策、项目或想法提出看法时,会受到重视。”Weisberg表示,只有彼此信任,利益相关者才会停下来听取CISO的建议。

  Weisberg补充道,另一方面,不能将CISO视为“一味拒绝的部门”,多年来许多CISO被打上了这样的标签。他们需要提供这种解决方案:让组织、合作伙伴和客户能够执行预期的任务,又不使他们面临不可接受的风险。
  麻省理工学院斯隆商学院(CAMS)的网络安全执行总监Keri Pearlson博士补充道:“大家信任帮助自己解决问题,并乐于提供帮助的同事和同仁。”

赢得信任


  Monica Rowe是密苏里州堪萨斯城Mazuma信用合作社的首席信息安全官,也是网络安全女性组织(WiCyS)的成员。她在目前担任的岗位、乃至整个职业生涯中都采用了这种方法。
  她表示,自己不仅向公司的其他高管宣讲安全问题, 还竭力在其组织的所有层级建立良好的关系。她解释说:“你应该把窗帘拉开一点,透露一定程度的详细信息。”这种做法可帮助高管团队从业务风险方面了解安全需求。
  因而,她表示其同事明白“我们在为共同利益而努力”,这反过来意味着他们相信她为整个组织做出最合理的选择,而不只是为安全职能部门做出最合理的选择。
  Rowe已看到了赢得这种信任后收到的成效。她提到自己在2019年因而获得高管团队的支持,以加强该信用合作社的某些安全方面,包括VPN功能。
  她说:“首席执行官批准了资金,由于他对我深信不疑,所以没有质疑我在这方面的要求。”

  高管团队相信她认为需要改进安全的观点,于是这家信用合作社迅速加强了远程工作能力,以应对新冠疫情,升级后的VPN证明有能力应对更大的负载。
  她补充道:“信任让你能够左右那些影响整个公司的决策。”

信任的价值


  当前的情形也强调了CISO们需要在员工、合作伙伴和消费者当中建立起信任,因为他们都已经历了新冠疫情带来的种种转变,与此同时他们看到有关重大网络安全攻击的更多报告,比如去年7月众多知名的Twitter账户被黑。
  这点完全可以肯定:普通人都在密切关注。毕马威的2020年报告《企业数据责任方面的新要求》调查了1000名美国人,结果发现87%的人认为数据隐私是一项人权,91%的人表示企业应带头肩负起企业数据责任。   贝恩公司的合伙人Steve Berez设立了该公司的企业技术业务,他说:“人们越来越认识到与他们有业务往来的公司,甚至与他们没有直接业务往来的公司拥有大量的数据。除了由此带来的好处外,越来越多的人还意识到由此带来的风险。因此大体说来,CISO的工作主要与信任有关,建立信任,好让别人相信提供给该公司的数据是安全的。这可能是当下CISO最重要的角色。”

  首席执行官们已心领神会,因为现在大多数首席执行官认为,要在数字化时代取得成功,与利益相关者建立和维持信任至关重要。普华永道在其第21届全球首席执行官调查中发现,全球87%的首席执行官致力于加强网络安全,以赢得客户的信任。
  普华永道咨询业务负责人Sean Joyce说:“随着经济数字化,我们现在意识到信任到底多重要。”他是普华永道的美国和全球网络安全与隐私业务负责人。

从卖点到社会使命


  Joyce认为,除了展示给员工、业务合作伙伴和内部的负责人外,企业组织保持安全和隐私的能力还是展示给客户的一个卖点。
  他提到了其所在的在线银行,这家银行部署的一项安全功能最近阻止了他当时进行的一次不寻常的采购(冲浪板练习),在询问他是否要银行授权这笔支出的同时,给他发来了短信。这种功能使这家在线银行与众不同。
  他补充道:“这就是CISO所做的事情,他们利用安全功能让自家品牌脱颖而出。”
  实际上,普华永道的《2020年数字化信任洞察脉动调查结果》将信任列为CISO须向其企业组织提供的关键要素之一,建議CISO们“另辟蹊径,以改善安全、弹性和信任,同时通过有效地监管网络安全预算来帮助遏制成本。”

  CISO们可能没有太多的选择,只能这么做,因为社会日益要求这种“数字化信任”,达拉斯的律师Benjamin Wright如是说。他专注于技术法,在美国私人营利性公司SANS Institute担任高级讲师。
  他说:“社会正在通过法律并执行规定,表明‘这是我们要求你满足的复杂要求,如果你未满足这些要求,未为该数据确保安全,将受到惩罚。”
  已于2020年初生效的《加利福尼亚州消费者隐私法》就是个典型案例,但不是唯一的法规。包括缅因州和内华达州在内的其他州也已颁布了数据隐私法,而其他州出台了立法。那些法规效仿欧盟早在2018年生效的《数据保护通用条例》(GDPR)。

CISO的新使命


  然而,培养数字化信任对于许多人而言并非易事。
  毕马威的《企业数据责任方面的新要求》调查发现,68%的受访消费者不相信企业会以合乎道德的方式出售个人数据,54%不相信企业会以合乎道德的方式使用个人数据,53%的人不相信企业会以合乎道德的方式收集个人数据,50%的人不相信企业会保护个人数据。
  戴尔技术公司联合英特尔和独立调研机构Vanson Bourne,对来自40多个国家的4600名业务负责人开展了一项调查:《2018年数字化转型指数》,结果发现,49%的人“担心本组织在5年后不值得信赖。”
  Brian Haugli是咨询公司SideChannel Security的合伙人兼联合创始人,之前担任过首席信息安全官。他表示,专家们声称,那些忧心忡忡的组织继续将安全视为阻碍速度和发展的因素,原因在于他们不相信安全职能部门与本组织的业务发展相一致。

  因而,他们的CISO常常无缘早期阶段的战略性讨论,仅在后期阶段才参与到计划或项目中,这时候整合安全比较困难。
  Haugli表示,与此同时,同样这些CISO可能没准备好接过建立信任这项重任。他们可能尚未将自己视为业务赋能者、关键的顾问和战略合作伙伴,而是仍将其角色视为技术监督和实施一项被动应对的安全计划。
  然而专家们强调,领先的CISO们早已积极奉行建立信任是可交付成果这一理念,而且确实将信任视作整个安全职能部门的中心主题。
  这就是Highmark Health的首席信息安全官Khawaja采取的方法。他认为信任高度体现了他和其安全团队所做的工作,2019年初他们重写安全计划的使命声明,以便与公司的战略愿景更保持一致时,实际上宣布了信任的重要性。

  旧的使命声明提到了安全的3个业务目标:确保合规、隐私和效率。新的愿景声明写道:“我们的愿景是打造人们明确相信自己的信息是安全的环境。”
  本文作者Mary K. Pratt是常驻马萨诸塞州的自由撰稿人。
  原文网址
  https://www.csoonline.com/article/3444940/the-ciso-s-newest-responsibility-building-trust.html
其他文献
关键词 达力扎布,访谈录,明清蒙古史,历史教学    采访时间:2006年12月28日  采访地点:中央民族大学  采访记录及文字整理:唐丰姣,中央民族大学历史系硕士研究生(本访谈录已经达力扎布教授审正)  编者手记:本刊“中青年著名学者访谈录”系列,已推出几十位活跃在当今历史学前沿的学者。此间有所阙如,但我们一直在选择。本期介绍一位民族史研究领域的重量级人物:中央民族大学历史系主任达力扎布,一个
部署多云战略可以带来实质性的好处,同时避免供应商锁定。以下是如何成功部署多云战略的方法。  对于越来越多的企业而言,向云端迁移并不像将一两个应用程序部署到亚马逊网络服务(AWS)和微软Azure等托管服务上那么简单。这是一个多云战略,是数字化转型计划的关键部分,而后者的目的是为了实现业务流程现代化的。  部署多云战略可带来实质性好处  审计和咨询公司Grant Thornton的负责人Brian
【摘要】宗教改革运动与德国近代国家产生之间存在着密不可分的联系,表现为通过削弱罗马教会的权力而强化世俗政府。但是,这也带来了一些误解,如把马丁·路德说成是独裁政治的拥戴者。通过分析路德与诸侯领地政府、路德与农民战争的关系,本文对宗教改革运动的革命性和保守性进行了诠释,旨在阐明转型时期德国市民运动的特点和性质。  【关键词】马丁·路德,诸侯领地邦国,德国农民战争  【中图分类号】K5【文献标识码】A
西南大学从2007年开始招收免费师范生,当年招收免费师范生2945人,其中西部地区生源占79.6%,中部生源占19.6%,东部地区生源占0.8%[1] (p.7)。西南大学历史文化学院也从2007年开始招收历史教育专业免费师范生,其中2007级的163名免费师范生已于2011年毕业,大部分学生主要是在西部地区中学从事基础教育工作。在免费师范生培养过程中,教育实习是其中重要组成部分。历史教学实习不仅
公民大会是雅典最主要的政治决策机构,会议召开时,在政治家的提议演说之后,与会民众进行表决,获得通过的提议成为法令,刻石公布。  在德谟斯提尼的公民大会演说中,“演说”与“行动”的对应关系成为一种修辞策略的主题,他往往对演说予以批评,对行动大加肯定。在这种对立关系中论述“行动”问题,其效果是将听众的注意力引向演说现场,让他们意识到公民大会中的政治参与行为将对城邦的政治运作具有怎样的重要意义,也不断提
IT部门要想成功,人工智能(AI)是必不可少的。如此一来,你可能会想,这不过是在持续炒作这种技术的重要性而已。  肯定的一面,人工智能能够带来业务价值。否定的一面,它不会神奇地解决企业的所有问题。  尽管如此,理性地对待人工智能,它仍然可以推进你的企业系统,从而改善业务运营。为了了解企业IT目前可以在哪些方面有效地利用人工智能,CIO.com采访了Forrester Research的人工智能分析
摘 要革命与改良既是人类社会变革的基本方式,也是近代中国社会各阶层探索国家生存发展出路的主要手段。二者无高下优劣之别,亦非对立排斥的关系。如果说“五四”前革命与改良的更替推进,乃中国社会各阶层在探索国家出路初期对各种民族复兴方案的不断比较和试验,或者说各种政治力量对时代话语权激烈争夺之表现的话,那么“五四”后革命主体性的形成,则是改良道路一再受阻及其试验过的各种救国方案难以展开,以及民族危机不断加
[摘要]20世纪30年代浙江的主要农村副业蚕、棉、桐因市场萎缩处于衰落状态,使浙江农民收入减少,生活恶化。浙江政府推进副业合作以挽救这几种产业。如在实验区组织行业合作社,在合作区实施专业指导,合作贷款,合作研究良种与合作社社员训练等。副业合作是政府对农民由单纯救济到发展生产的一种思路转变,是复兴农村经济若干措施中的一种,在实施过程中既有成效也有阻力,处于不断的探索中,客观上代表了经济现代化的方向。
在商业和运营环境中的物联网系统受攻击面正变得越来越多,并且给许多企业的关键数据和系统的机密性、完整性和可用性带来了新的风险。  安全领导者需要更新其组织的威胁概况以解决这些风险,以及实施正式的计划以主动管理这些风险。分析师认为,否则它们有可能成为不法分子的软目标,这些不法分子一直在寻求利用脆弱的物联网环境进行间谍活动、窃取数据、发起分布式拒绝服务(DDoS)攻击、提升特权,或是以其他方式破坏组织的
2020年已经成为人类历史上极不平凡的一年,全世界遭遇到了百年未有的大变局。在经济面临周期性调整、中美贸易冲突日益加剧和全球爆发新冠肺炎疫情等多重因素影响下,整个信息产业发展也遇到了较大的冲击。  内外部环境的变化,客观上促进了信息产业加快转型和重塑的步伐,当前信息产业正受到以下主要因素影响:国际国内环境巨变引起国家战略调整  在国际政治、经济和社会环境发生巨变情况下,我国的经济社会发展方向和格局