CISO创造价值的10个实例

来源 :计算机世界 | 被引量 : 0次 | 上传用户:liongliong421
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读

  与所有高管一样,首席信息安全官也面临着压力,要展示自己和自己的部门为企业带来了怎样的价值。
  然而,很多人表示,他们仍然很难做到这一点。
  据.uk域名注册中心Nominet的报告《生活在外围:理解现代首席信息安全官》,只有52%的首席信息安全官表示,他们觉得自己的高管们是从收入和品牌保护的角度来评价安全部门。
  然而,领先的安全专家表示,首席信息安全官通过使业务能够安全的运营,确实为他们的企业创造了价值。与此同时,一些首席信息安全官正在通过增值活动带来额外的回报:他们通过各种举措降低成本,开辟新的战略商机,甚至增加收入。
  麻省理工学院斯隆分校(MIT Sloan,CAMS)网络安全执行董事Keri Pearlson说:“我们看到首席信息安全官有很多机会给企业创造价值。”
  本文介绍首席信息安全官能够给企业带来更多回报的10个例子:

使企业数据更有价值


  毕马威(KPMG)全球网络安全实践联席领导人兼首席执行官Tony Buffomante指出,首席信息安全官在整个企业中的知名度很高,有机会在安全服务之外进一步创造更多的价值。
  他举了一个例子,毕马威与一家大型金融机构的首席信息安全官合作,评估其数据的风险。在进行这项评估时,首席信息安全官发现,收集的数据以及多个地点的数据都没有得以利用。
  作为风险和安全评估的一部分,首席信息安全官和毕马威首先对数据元素进行评分。然后,他们记录了不同的日期元素是否对竞争优势有用,它们是否存在于多个地方,以及是否实际用于多个地方。
  首席信息安全官还与IT部门分享了他的见解,IT部门随后消除了冗余,减少了数据占用空间——此举既节省了公司资金,又降低了安全风险。与此同时,该公司的市场部使用首席信息安全官对数据的深度分析结果,在工作中更有针对性。
  Buffomante解释说:“正是首席信息安全官从数据中获得了深度分析结果,使企业能够思考怎样使数据更有价值。”

发现政策和程序上的失误


  作为标准安全审查的一部分,首席信息安全官通常会发现他们自己的程序和协议中存在的漏洞,他们可以使用相同的流程来发现相关领域的失误,从而为其企业带来更多的价值。
  退休的美国空军准将Gregory J.Touhill是奥巴马政府期间的第一个联邦政府首席信息安全官,现在是卡内基梅隆大学海因茨信息系统和公共政策学院的兼职教员,他说:“我们所有人都应该接受让整个企业变得更好的方法。”
  Touhill是在凭经验说话。他列举了一个在咨询过程中发生的特殊事件,当时他的一位安全分析师发现并调查了一些异常活动,这些活动表明新员工的审查和入职存在问题。
  Touhill说:“这超出了他们的职责范围,但他们发出了警报,结果我们改进了入职过程。”
  当然,此类问题要想引起其他高管的注意,需要首席信息安全官充分发挥自己的沟通技巧,正如Touhill所指出的那样,“在企业中你是有责任解决这个问题的。”

发现不必要的开支


  首席信息安全官已经在寻找哪些技术是不必要的,以防止带来安全风险,而资深安全高管Gene Fredriksen认为,安全领导发现不必要的技术开支可以帮助企业控制预算。
  Fredriksen是美国国家信用联盟信息共享与分析组织(NCU-ISAO)执行董事,也是Pure IT信用联盟服务公司的网络安全负责人,他说:“现在要运行服务器非常简单,因为它是基于云的,但是每次有人启动运行一个带有应用程序的服务器时,企业就必须支付费用,所以当进行许可审核时,高管们往往会感到震惊。”

为保护知识产权提供技能


  OutSecure有限公司总裁Pamela Gupta也是网络安全女性组织(WiCyS)的一员,她说:“发现没有得到充分保护的知识产权通常不是首席信息安全官的职责,但他们可以在这方面发挥作用。”
  Gupta曾与一位首席信息安全官合作,他的任务是控制好公司的财务和信用卡数据,但在这一过程中,他发现需要提高公司知识产权的安全性。
  Gupta说:“我看到,即使是大企业,也没有采取基于风险的方法来保护知识产权,没有把企业内的各个点连接起来”,她继续补充说,首席信息安全官如果能够运用基于风险的培训知识来恰当地发现并保护知识产权,这将是一项非常宝贵的服务。

让安全成为卖点


  Keri Pearlson博士说,无论是购买现成产品的日常消费者,还是与供应商谈合同的高管,都希望与自己打交道的企业是安全的。他们越来越希望能够提供安全证明。
  Pearlson补充说:“敢于表明自己的企业是安全的,这就能创造收入。”这为首席信息安全官提供了机会。“如果我作为一名首席信息安全官,向你展示我的公司更安全,那么我就从战略上给你提供了与我开展业务的机会。”
  她说,她曾与一家将数字組件整合到产品中的公司合作,该公司的首席信息安全官将他的工作范围从保护内部系统扩展到了从事安全功能的产品开发。
  她补充道:“首席信息安全官是有机会的,他抓住了机会,参与到产品开发中。这不是首席信息安全官的传统角色,但他们在这方面能产生重大影响,特别是当我们向前发展时,一切都有数字化的因素。”

搭建桥梁


  首席信息安全官与首席信息官和首席财务官等同行一样,是在整个企业中工作,因此有机会在企业层面建立关系。资深的安全领导、专注于IT治理的专业协会ISACA刚卸任的董事会主席Brennan P.Baybeck表示,这让首席信息安全官成了一名“大使”。   他指出,首席信息安全官的工作涉及几乎所有的执行和战略领域——从数据相关问题到法律、隐私和治理,当然还有安全。因此,他们的任务是与很多其他同事合作寻找解决方案。
  Baybeck同时也是甲骨文公司客户服务首席信息安全官,他说:“他们能看到需要改进的地方,在公司内部就能把这些工作做好。”
  他建议首席信息安全官利用这些经验,在各职能部门之间发挥协调作用,并通过打破剩余的孤岛,在各部门之间建立沟通网络,以帮助企业更好地管理风险。

帮助合作伙伴


  同样,Fredriksen认为首席信息安全官有机会与自己企业的业务伙伴合作——通过保证和加强整个供应链的安全性,合作一定会有回报。
  他说,作为一名首席信息安全官,他为一些供应商和分销商举办安全研讨会(这些供应商和分销商由于企业规模不够大而无法自己举办研讨会),并出于类似的原因与他们分享了安全警报和合规更新。
  他补充道:“你应该分享最好的做法,因为我们大家在一起会变得更好。”

寻找、促进标准化的机会


  IT服务公司Garnet River有限合伙公司的首席信息安全官Michael D.Weisberg曾为一家大型企业的首席信息安全官提供咨询服务,这家企业实施了不同的系统去处理各个地点的付款。该企业有23个不同的平台来处理同一个流程——这种情况不仅让首席信息安全官感觉既复杂成本又高,而且那些为所有这些系统提供支持的技术人员也觉得没有必要这么复杂。
  首席信息安全官认识到这些不同的系统给本企业带来了负担,因此创建了一个统一的框架,将所有系统的安全和技术要求进行了标准化。整个企业和首席信息安全官本人都受益于这项标准化工作。
  Weisberg说:“维持一个标准化功能性环境需要的员工人数减少了,而且更容易保证环境的高效性。”

制定战略规划


  随着首席信息安全官发展成为高管合伙人,就网络安全问题向高管团队提供建议,这促使首席信息安全官可参与制定更多的企业战略规划。
  非营利性烟草控制组织Truth Initiative的首席信息和网络安全官Derrick A.Butts说:“制定战略规划是为了与企业的愿景保持一致,帮助节省资金,并改进全体员工的工作流程。”
  Butts已经看到了战略性工作是怎样带来回报的。
  他指的是五年前为搬进新楼而做的规划工作。尽管设施管理似乎不在首席信息安全官的职责范围内,但他很早就加入了讨论,并影响了进入新大楼的网络基础设施建设。Butts建议他的同事们在网络基础设施中增加一些功能,既能为大量的远程工作提供支持,又能保证远程工作的安全性,他说服其他高管,如果出现了暴风雪等导致办公室关闭的事件,该计划将确保业务连续性。
  当新冠病毒疫情来袭时,Butts参与制定规划的价值显现了出来,因为其公司的员工无缝地、迅速地过渡到了远程工作环境。
  Butts补充说:“我们不需要重新评估和引入新的系统来实现远程工作。我们已经有了。我們能像往常一样开展工作。”

简化监管控制措施


  随着立法机构和私人实体颁布越来越多的安全和隐私法规,例如加利福尼亚消费者保护法,企业必须实施自己的控制措施以遵守法规。
  但是,由于监管随着时间的推移不断变化,很多高管都是一个案例一个案例地去处理——这种方法往往导致复杂、冗余的控制措施和相关流程。
  云计算提供商Fastly的首席信息安全官Mike Johnson表示,考虑到安全领导人负有各种监管责任,他们通常能够找到简化这些控制措施的方法。
  他说:“首席信息安全官通过简化与安全相关的操作和合规措施,能带来更多的价值。降低这些职能的成本给企业创造了价值。繁重的人工操作流程具有较高的资金成本和机会成本,而自动化(以及其他改进方法)确实有跨部门的好处。”
  本文作者Mary K. Pratt是马萨诸塞州的一名自由撰稿人。
  原文网址
  https://www.csoonline.com/article/3572382/10-value-adds-that-cisos-can-deliver.html
其他文献
公有云已成为数字化转型的战略工具。为了推动创新、增强灵活性和提升收益,IT领导者提出了向公有云服务迁移的建议。  公有云服务是首席信息官们的战略武器,它们不仅能够终结数据中心的运营,还能够让首席信息官们更加专注于旨在提高利润的战略项目。  Gartner的分析师Ed Anderson今年1月在博客中撰文称,“随着企业追求新的IT架构和运营理念,它们为数字业务的新机遇奠定了基础。”  无论是构建移动
谈及网龙,业内外鲜有不知其名者。自1999年以游戏起家后,凭借《魔域》《征服》《英魂之刃》等多款自主研发的著名游戏,网龙很快就成为较早走出国门并且成功运营的民族网游企业的先驱者。  其在2003年以2050万美元出售网游资讯门户网站17173.com和2013年以19亿美元出售“91无线”的两次成功案例,更是至今被业内津津乐道。  而从2010年成立教育业务子品牌“网龙华渔教育”开始,网龙开启了涉
没有任何一个社区能逃过全球性疫情带来的巨大冲击。在尽可能地维持一种常态化生活习惯的同时,每个居民为了保护自己都会在日常生活中做出或多或少的改变,这些改变汇集起来便形成了社区化的应对疫情的措施。  面对此类危机时,最先出现的往往是来自基层的响应,但是这些应对方式对于减缓传染病的扩散可能并不那么有效。从技术角度来看,这些解决方案均包含了集合远程协作、非接触式交易,以及用自动化、机器人和其他免人工流程替
企业领导人现在把网络安全列为最高优先事项,认为它是必须加以管理的战略风险。  然而,对高管和董事会成员的调查显示,他们这项任务进行的并不好。  来自威达信和微软的《2019年全球网络风险感知调查》发现,79%的受访者将网络风险列为自己企业最关注的五大问题之一,22%的受访者表示这是他们最关心的问题。而只有11%的受访者对他们企业的网络应变能力非常有信心。  与此同时,全美企业董事协会进行的《201
边缘上的人工智能:机器学习将成为主流,早期采用者已获得了回报。  机器学习热得不能再热了。機器学习作为人工智能领域的一员,使得计算机能够学习执行任务,进行预测,而不需要详细的编程,这一技术在众多的流行技术中非常火,但对于大多数企业而言仍然是有些遥远的概念。由于技术进步和新出现的体系架构,机器学习可能很快会成为主流。  咨询公司德勤预计,2018年机器学习的使用和采用会大幅度增加。这在很大程度上是因
一种新的云模型能够支持可扩展的应用程序,同时保证分散的、最小化可信度的生态系统的安全。  无论是亚马逊网络服务(AWS)、Dropbox、Citrix、微软还是谷歌,所有云存储供应商都有相同的基本原则——它们都通过互联网把数据同步并复制到一个集中式的云服务器集群中。数以百万计的用户及其设备每秒钟都会连接到这些中央云集群上,以存储和访问与其网络账户相关联的文件。  云是我这一代人最成功的案例,但是集
近日,5G智能電网研究项目在3GPP R18中成功立项,将第一次正式定义5G 智能电网端到端标准体系架构。尽管R16标准已经在URLLC(低时延高可靠)和eMTC(广域物联网连接)方面取得了突破,但在指标更加严格、通信需求更加个性化的电力、交通等垂直领域,仍需要更加确定的5G网络,5G将成为电力行业提质增效关键支撑。  在3GPP此次立项中,中国力量再次凸显,进一步扩大中国公司在5G标准制定过程中
许可区块链还可以通过分布式应用程序与公共区块链交互,这些应用程序提取区块链中的数据并将其呈现给消费者。或者,它们可以通过运行在分布式网络上的智能合約、自我执行的业务自动化软件进行交互。当区块链充当数据库,确认交易已经发生时,智能合约会执行预先确定的条件;可以把智能合约想象为执行“if/then,”或者条件程序的计算机。  例如,一旦产品到达某个地点,智能合约会触发提醒,让消费者知道可以购买产品了。
分布式总账技术的另一个被人们更熟知的名称就是区块链,它可能会淘汰掉海量的记录,从而节约资金,并将以自互联网出现以来人们从未见过的方式改变IT。  区块链已经做好了改变IT的准备,其方式与开源软件在25年前的方式非常相似。正如Linux在十多年时间里成为了现代应用开发的基石一样,区块链也将花费数年时间成为可在开放和专用网络间共享信息的低成本高效率方式。  目前确实有围绕着这一看似全新且安全的电子总账
数字化转型从未如此重要,后进企业如何快速习得先进经验?这是《新华三数字化转型与实践》白皮书的初衷。  正如《新华三数字化转型与实践》白皮书所言——数字化转型是一段没有终点的旅程。  企业愈是深入探索数字化转型,愈发现这是一项十足的全局系统变革,仅靠一己之力难以为继,于是寻求数字化转型领航企业的经验和能力,也就成为通往数字化乃至智能化的高速路。  日前,紫光股份旗下新华三集团整合自身近四年来的创新探