是否該拆分CISO角色?
近年來,網(wǎng)絡(luò)安全得到了大量關(guān)注,隨之而來的是立法、法規(guī)和更多的審查,這導(dǎo)致CISO現(xiàn)在的職責(zé)超出了保護企業(yè)的技術(shù)層面。
IANS的一項研究顯示,CISO不僅負責(zé)信息安全,還經(jīng)常包括技術(shù)風(fēng)險和合規(guī)等方面。不斷增加的監(jiān)管要求意味著需要更多的董事會監(jiān)督,CISO必須繼續(xù)將不斷變化的網(wǎng)絡(luò)風(fēng)險與業(yè)務(wù)環(huán)境的理解相結(jié)合。
“CISO需要與企業(yè)高管、監(jiān)管機構(gòu)、網(wǎng)絡(luò)保險提供商和CFO進行預(yù)算協(xié)商,并且他們必須精通商業(yè)語言并將其轉(zhuǎn)化為網(wǎng)絡(luò)風(fēng)險,這本身就是一個全職角色,”企業(yè)戰(zhàn)略集團的名譽分析師Jon Oltsik說。
同時,管理日益復(fù)雜的技術(shù)需求也在增加,需要專門的注意和監(jiān)督。“技術(shù)變得越來越大和多樣化,包括開發(fā)新應(yīng)用程序和實施新型設(shè)備,我們也正處在大規(guī)模AI采用的邊緣,需要一個真正理解所有這些技術(shù)并能夠在業(yè)務(wù)指導(dǎo)下制定適當(dāng)控制措施的人,這是一個不同類型的角色。”O(jiān)ltsik告訴記者。
區(qū)分技術(shù)和業(yè)務(wù)風(fēng)險的擔(dān)憂
范圍只會不斷擴大,到2027年,Gartner預(yù)測45%的CISO職責(zé)將超越網(wǎng)絡(luò)安全,由于增加的監(jiān)管壓力和攻擊面擴大推動。
為了應(yīng)對日益增加的職責(zé),更多企業(yè)可能會效仿銀行和其他大型企業(yè),將技術(shù)控制和業(yè)務(wù)風(fēng)險的職責(zé)區(qū)分開來。
在一種可能的安排中,CISO向CEO匯報,首席安全技術(shù)官(CSTO)或技術(shù)導(dǎo)向的安全人員向CIO匯報。
在功能層面,將CSTO置于IT部門內(nèi),使CIO有機會進行更多的整合和協(xié)作,并將可觀察性和安全監(jiān)控統(tǒng)一起來。在執(zhí)行層面,需要理解安全漏洞,而CISO可以協(xié)助進行戰(zhàn)略業(yè)務(wù)風(fēng)險考慮。Oltsik表示:“這種分拆可能會帶來更好的安全監(jiān)督和更成熟的安全文化。”
然而,劃分職責(zé)和報告線也會帶來許多實際考慮和風(fēng)險。將CISO置于CIO的管轄范圍之外,可能會在管理網(wǎng)絡(luò)風(fēng)險和監(jiān)督技術(shù)之間形成一層隔閡,這也可能加深I(lǐng)T運營與安全之間的差異,前者關(guān)注系統(tǒng)的正常運行,后者則優(yōu)先考慮系統(tǒng)的安全性。
“當(dāng)然,每個人都希望系統(tǒng)正常運行,不僅僅是CIO的責(zé)任,但安全的工作是確保它們也是安全的,他們可能會設(shè)置某些門檻,使其運行更困難。”O(jiān)ltsik說。
然后是開發(fā)和采用新應(yīng)用程序時的安全風(fēng)險問題。如果安全技術(shù)角色由CIO和IT部門負責(zé),如果在性能和安全之間存在沖突,可能無法充分考慮安全因素。
“我們之所以處于如此多漏洞的境地,部分原因是軟件開發(fā)人員為了盡快將代碼投入生產(chǎn),往往在安全方面偷工減料,”他說道,“因此,風(fēng)險在于,通過將這兩個角色分開,CISO會變成一個沒有操作職責(zé)的象征性人物,而CIO可能會指示首席安全技術(shù)官不要過多關(guān)注安全問題,因為這會影響生產(chǎn)力或性能。”
分拆某些職能能否改善風(fēng)險管理?
在其他情況下,由網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)技術(shù)、操作和架構(gòu)團隊,而由CISO領(lǐng)導(dǎo)治理、風(fēng)險和合規(guī)職能是有意義的,7 Rules Cyber咨詢公司的創(chuàng)始人和CISO Chirag Joshi表示。“治理和風(fēng)險角色可以更多地與董事會互動,展示指標和測量、策略和政策。”Joshi告訴記者。
美國證券交易委員會的一項要求是提交年度網(wǎng)絡(luò)風(fēng)險管理計劃,這通常是治理領(lǐng)導(dǎo)的職責(zé),他們制定一個包含控制措施的策略,但需要有人在必要時對其進行獨立的功能性支持和挑戰(zhàn)。“在操作和風(fēng)險職責(zé)之間劃清界限是有益的,因為這種獨立性更有可能對風(fēng)險選擇提出挑戰(zhàn)。”Joshi說。
通過將CISO角色提升到其他C級高管的水平,他們成為專注于管理風(fēng)險的戰(zhàn)略業(yè)務(wù)顧問。不僅僅是回答‘我們?nèi)绾未_保這一點’的問題,而是對企業(yè)是否應(yīng)該‘這樣做’提出意見,比如采用新應(yīng)用程序或其他安全考慮。
要實現(xiàn)這一點,CISO需要采用高管的語言,能夠以適當(dāng)?shù)耐顿Y和相應(yīng)的風(fēng)險控制來解釋問題。“他們需要那種風(fēng)險語言,不只是將網(wǎng)絡(luò)風(fēng)險分為高、中、低,而是解釋為什么你決定按比例投資于某種控制,而不是接受風(fēng)險。這是一個更困難的對話,不像高、中、低風(fēng)險的對話那么簡單。”Joshi告訴記者。
為了成功改變重點,CISO需要掌握財務(wù)和公司戰(zhàn)略,并在這一框架內(nèi)表達網(wǎng)絡(luò)控制,而不是每季度都帶著報告和警告出現(xiàn)。“CISO需要將其風(fēng)險分類法納入整體企業(yè)風(fēng)險分類法中。”Joshi說。
然而,在這種安排下,預(yù)算可能成為爭論的焦點。Joshi解釋說,CIO的預(yù)算往往非常重視網(wǎng)絡(luò)安全,要在不影響資金分配的情況下讓CISO和CIO成為同級可能會很困難。
另一個潛在的摩擦點是應(yīng)用程序的維護,以及誰對生命周期結(jié)束的考慮和權(quán)衡成本與潛在漏洞的權(quán)力負責(zé)。“CIO需要管理成本,并盡可能長時間地保持應(yīng)用程序運行,但CISO更傾向于遷移到新應(yīng)用程序,以免擔(dān)心遺留漏洞。”Joshi補充道。
是否需要一個安全運營主管?
在其他情況下,企業(yè)可以效仿標準渣打等大銀行,采用沿三條線分配職責(zé)的模型——操作、風(fēng)險和審計。網(wǎng)絡(luò)安全操作主管負責(zé)實施控制和系統(tǒng),更專業(yè)的CISO負責(zé)風(fēng)險和合規(guī),第三個角色負責(zé)審計功能,并可以獨立審查網(wǎng)絡(luò)安全功能,F(xiàn)TI Consulting澳大利亞網(wǎng)絡(luò)安全主管兼高級董事總經(jīng)理Wouter Veugelen表示。
“安全運營主管負責(zé)所有的預(yù)防、檢測和響應(yīng),而CISO專注于治理,制定安全控制政策并檢查合規(guī)性,但他們不能負責(zé)具體實施,因為對一個人來說處理所有這些事情太過繁重了。”Veugelen說。
誰為風(fēng)險負責(zé)
然而,分拆安全角色面臨許多挑戰(zhàn),尤其是在問責(zé)制方面。將責(zé)任分散到多個角色可能使最終對整體網(wǎng)絡(luò)安全風(fēng)險管理和結(jié)果負責(zé)的人不明確。此外,如果將運營安全控制與治理和風(fēng)險管理分開,可能很難確保這兩個職能之間的適當(dāng)問責(zé)。
為了解決這個問題,Veugelen建議企業(yè)需要制定明確的政策和指南,明確問責(zé),以避免不同安全角色和職能之間出現(xiàn)空白或重疊。他還警告說,如果負責(zé)網(wǎng)絡(luò)安全風(fēng)險的人沒有全部控制權(quán)來減輕風(fēng)險,他們就不會擁有所有風(fēng)險。“最好是讓有預(yù)算和權(quán)力來減輕風(fēng)險的利益相關(guān)者擁有風(fēng)險的所有權(quán)。”他說。
同樣,關(guān)于誰負責(zé)向董事會報告風(fēng)險的問題可能會產(chǎn)生沖突。在大多數(shù)情況下,CISO向CIO報告,CIO再向集團高管報告,但這種安排可能不提供自由和坦率風(fēng)險評估的選項。“如果CISO需要向董事會報告風(fēng)險,但董事會文件必須經(jīng)過CIO,所報告的網(wǎng)絡(luò)安全風(fēng)險可能會對CIO未能維護的系統(tǒng)描繪出不理想的畫面。”Veugelen說。
在這種情況下,CISO還需要有一個直接向風(fēng)險委員會報告的渠道,以便至少能提供關(guān)于CISO風(fēng)險的平衡報告,他說。
很多取決于公司的結(jié)構(gòu)和風(fēng)險的所有權(quán),但這種安排更適合那些具有更復(fù)雜安全需求和有能力支持獨立角色的大型機構(gòu)。
較小的企業(yè)可能缺乏管理多個信息安全高管所需的流程和結(jié)構(gòu),這可能會導(dǎo)致角色之間的問責(zé)出現(xiàn)空白甚至重疊。“此外,組織內(nèi)支持獨立安全角色和職能可能會產(chǎn)生額外成本。”Veugelen說。
