打破對CISO角色的七大誤解
CISO(首席信息安全官)角色經(jīng)常被高管、董事會成員,甚至自己的團(tuán)隊(duì)成員誤解。這些誤解不僅限制了 CISO 的真正潛力,更可能危及整個組織的安全態(tài)勢。以下是關(guān)于CISO的七大誤解:
1.CISO只是"安全人員"
CISO不僅僅是負(fù)責(zé)更改密碼、應(yīng)用補(bǔ)丁和設(shè)置防火墻的人。如今的CISO通常不太參與日常運(yùn)營。
他們更關(guān)注大局問題,比如在云中保護(hù)工作負(fù)載和應(yīng)用程序,以及AI工具。此外,他們有時(shí)還會參與并購戰(zhàn)略,評估潛在收購目標(biāo)的安全狀況,以識別可能影響估值、合規(guī)性或與現(xiàn)有公司業(yè)務(wù)整合的任何風(fēng)險(xiǎn)。
很多人誤認(rèn)為,CISO的日常工作主要是應(yīng)對事件和了解新興威脅。Liberty Mutual保險(xiǎn)公司執(zhí)行副總裁兼CISO Katie Jenkins就有這樣的體會。她更正說,雖然在日常工作中她確實(shí)需要處理這樣的工作,但是她的時(shí)間也花在主動規(guī)劃、與利益相關(guān)者溝通上,以了解他們的優(yōu)先事項(xiàng),并開展培訓(xùn)工作,其中也包括自我培訓(xùn)。此外,她補(bǔ)充說,由于網(wǎng)絡(luò)安全領(lǐng)域變化太快,她需要投入時(shí)間跟進(jìn)研究,并與其他CISO進(jìn)行交流。
專家表示,除了保護(hù)基礎(chǔ)設(shè)施外,一個高效的CISO還要專注于保護(hù)業(yè)務(wù)。這需要了解安全如何融入業(yè)務(wù);不僅僅是專注于風(fēng)險(xiǎn)管理,還要確保安全幫助公司發(fā)展而不會創(chuàng)造其他問題。
是時(shí)候?qū)ISO視為戰(zhàn)略業(yè)務(wù)領(lǐng)導(dǎo)者,而不僅僅是“技術(shù)執(zhí)行者"。
2.安全純粹是技術(shù)功能
盡管擁有世界上最好的工具和最好的安全堆棧,如果員工仍然隨意點(diǎn)擊釣魚鏈接或重復(fù)使用弱密碼,這一切都將是白費(fèi)。因此CISO角色正在演變,他們必須扮演多種角色,充當(dāng)心理學(xué)家、教育者和外交官,以說服人們安全是每個人的工作。
這是因?yàn)樵谕ǔG闆r下,沒有人會考慮太多安全問題,直到問題出現(xiàn)。此外,領(lǐng)導(dǎo)層可能不認(rèn)為安全是企業(yè)文化的一部分。專家表示,一個強(qiáng)大的CISO花在與人合作上的時(shí)間應(yīng)該與使用工具的時(shí)間一樣多。
安全資源公司LLC.org的CISO Sam Taylor說:"我已經(jīng)數(shù)不清有多少次有人認(rèn)為我的一天都在配置防火墻或修補(bǔ)漏洞。"但是實(shí)際上,她工作的約70%是風(fēng)險(xiǎn)管理、溝通,并確保安全在高管層面受到重視。她在董事會會議室花的時(shí)間甚至比在安全運(yùn)營中心花的時(shí)間還多。
“領(lǐng)導(dǎo)團(tuán)隊(duì)不關(guān)心技術(shù)術(shù)語;他們關(guān)心的是財(cái)務(wù)方面的風(fēng)險(xiǎn)。"她說。當(dāng)Taylor解釋弱安全態(tài)勢可能會導(dǎo)致數(shù)百萬美元的收入損失、法律費(fèi)用和監(jiān)管罰款時(shí),他們就會傾聽。
在她看來,CIOS的角色因此已經(jīng)改變,不能與時(shí)俱進(jìn)的CISO很難在組織內(nèi)部產(chǎn)生真正的影響。這樣,她說:"一家公司即便擁有市場上最好的安全工具,如果安全不是文化的一部分,數(shù)據(jù)泄露事件仍然會發(fā)生。"
這一切應(yīng)該從高層開始做起。然而,"仍有相當(dāng)多的董事會和業(yè)務(wù)領(lǐng)導(dǎo)者將網(wǎng)絡(luò)安全視為IT功能而非業(yè)務(wù)風(fēng)險(xiǎn)問題,"MorganFranklin Cyber的Allen說,"我在金融行業(yè)的一位同行指出,他們的董事會期望通過工具和軟件來解決安全威脅,而沒有認(rèn)識到治理、員工培訓(xùn)和文化變革的重要性。"
許多人認(rèn)為網(wǎng)絡(luò)安全是一個技術(shù)問題,LexisNexis Risk Solutions的技術(shù)高級副總裁兼全球CISO Flavio Villanustre表示同意。"這遠(yuǎn)非事實(shí)。現(xiàn)代CISO負(fù)責(zé)網(wǎng)絡(luò)安全的所有方面,遠(yuǎn)遠(yuǎn)超出其技術(shù)組件和影響,"他說。
關(guān)于CISO角色的誤解在特定行業(yè)中尤為明顯。例如,在媒體和電信行業(yè),安全通常被視為合規(guī)性檢查項(xiàng)或IT功能,而不是業(yè)務(wù)彈性的基本推動者。Allen舉例說,一位數(shù)字媒體機(jī)構(gòu)安全高管曾分享,該機(jī)構(gòu)領(lǐng)導(dǎo)層專注于監(jiān)管合規(guī),但忽視了主動安全投資,直到一次嚴(yán)重的數(shù)據(jù)泄露事件危及了用戶數(shù)據(jù)。
"在科技公司,安全有時(shí)被視為一個工程問題,高管們認(rèn)為DevOps團(tuán)隊(duì)可以在沒有專門治理的情況下處理安全問題。"Allen指出,"現(xiàn)實(shí)是,安全需要融入業(yè)務(wù)戰(zhàn)略,從媒體的知識產(chǎn)權(quán)保護(hù)到保護(hù)電信網(wǎng)絡(luò)免受國家級威脅。"
3.CISO對網(wǎng)絡(luò)安全擁有完全控制權(quán)
許多高管和董事會認(rèn)為聘請CISO意味著安全就得到了保障,CISO對安全戰(zhàn)略擁有完全自主權(quán)。事實(shí)上,網(wǎng)絡(luò)安全應(yīng)該是全公司的責(zé)任,而且安全領(lǐng)導(dǎo)者通常在激進(jìn)的產(chǎn)品路線圖、緊張的預(yù)算和高管風(fēng)險(xiǎn)容忍度的限制下工作。而當(dāng)事件發(fā)生時(shí),CISO經(jīng)常被追究責(zé)任,即使安全建議已被業(yè)務(wù)降低了優(yōu)先級。
對此MorganFranklin Cyber的Allen表示,沒有跨職能協(xié)作,CISO的影響是有限的。許多CISO在分享他們的倡導(dǎo)安全計(jì)劃時(shí),經(jīng)常遇到領(lǐng)導(dǎo)層優(yōu)先考慮便利性或短期財(cái)務(wù)收益,而非長期風(fēng)險(xiǎn)降低的阻力。
例如,Allen的一位來自財(cái)富500強(qiáng)公司的前客戶告訴他,預(yù)算限制和業(yè)務(wù)風(fēng)險(xiǎn)容忍度經(jīng)常凌駕于安全建議之上。因此,安全領(lǐng)導(dǎo)者必須在艱難的妥協(xié)中前行,當(dāng)事件發(fā)生時(shí),他們卻可能會被不公平地指責(zé)。即使由于業(yè)務(wù)權(quán)衡,他們的建議沒有得到完全實(shí)施。
她舉例,一家快速擴(kuò)張的SaaS公司前CISO曾透露,在領(lǐng)導(dǎo)層優(yōu)先考慮上市速度而非安全編碼實(shí)踐的情況下,執(zhí)行更嚴(yán)格安全措施就非常困難;而在電信領(lǐng)域,安全團(tuán)隊(duì)可能會就保護(hù)關(guān)鍵基礎(chǔ)設(shè)施提供建議,但最終決策受業(yè)務(wù)優(yōu)先事項(xiàng)、監(jiān)管壓力和客戶需求的影響。
4.頭銜中的"C"意味著他們是公司的高管
CISO頭銜中有一個“C(首席)”字母,被誤認(rèn)為是公司的高管。事實(shí)上,大多數(shù)CISO并不是公司的高管,他們的角色和頭銜在不同組織中可能有所不同,并非所有CISO都是傳統(tǒng)C級高管的一部分。
此外,在法律或監(jiān)管環(huán)境中,公司高管通常是由董事會任命并受特定SEC規(guī)則約束的人員。CISO通常不被視為這種意義上的公司高管。
有專家分析,高管和董事受公司的董事和高管保險(xiǎn)政策保護(hù)。而當(dāng)一個組織發(fā)生嚴(yán)重的網(wǎng)絡(luò)安全事件(如數(shù)據(jù)泄露、系統(tǒng)被黑客入侵等)時(shí),如果CISO沒有適當(dāng)?shù)姆杀Wo(hù)或保險(xiǎn)保障,可能會面臨個人層面的法律責(zé)任和后果。
盡管CISO負(fù)責(zé)保護(hù)組織免受網(wǎng)絡(luò)威脅,但他們無法控制威脅環(huán)境本身,卻可能因安全事件而承擔(dān)個人法律責(zé)任。正可能因?yàn)檫@個原因,導(dǎo)致CISO平均任期短,范圍在18至26個月之間,遠(yuǎn)低于C級高管的五年平均任期。
因此專家認(rèn)為,對CISO和CISO候選人來說,詢問公司是否會為他們提供單獨(dú)的保險(xiǎn)政策或其他保障措施,以確保他們在為公司最佳利益行事時(shí)不會被起訴至關(guān)重要。
5.CISO可以消除風(fēng)險(xiǎn)
人們有一種不切實(shí)際的期望,認(rèn)為安全領(lǐng)導(dǎo)者應(yīng)該能夠在漏洞發(fā)生前阻止每一次漏洞。漏洞總會發(fā)生。安全專家表示,CISO重要的工作是最小化影響,保持系統(tǒng)彈性,并確保公司在之后迅速恢復(fù)。有效的安全防御不僅依賴于技術(shù)和專業(yè)團(tuán)隊(duì),還依賴于整個組織的安全意識和參與度
"人們常常認(rèn)為CISO可以阻止所有攻擊,但這與事實(shí)相去甚遠(yuǎn),"網(wǎng)絡(luò)安全咨詢公司RedSecLabs的CEO兼創(chuàng)始人Rafay Baloch認(rèn)為,安全事件的發(fā)生是時(shí)間問題而非可能性問題。
這源于一個重大誤解,即"網(wǎng)絡(luò)安全只由具有網(wǎng)絡(luò)安全職稱的人員完成“。而事實(shí)上,整個組織都是第一道防線。Liberty Mutual的Jenkins說,“需要每位員工都'披上斗篷'。”她舉例,Liberty Mutual的負(fù)責(zé)任防御者計(jì)劃要求公司全球4萬名員工"使用他們的培訓(xùn)和直覺,幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)識別并保護(hù)公司免受網(wǎng)絡(luò)攻擊。
6.CISO是創(chuàng)新的障礙
業(yè)務(wù)領(lǐng)導(dǎo)者通常將安全視為路障,并認(rèn)為CISO通過極端風(fēng)險(xiǎn)評估和合規(guī)要求阻止創(chuàng)新。而另一方面,許多CISO堅(jiān)持認(rèn)為他們實(shí)際上通過確保創(chuàng)新安全來幫助企業(yè)更快前進(jìn)。
事實(shí)上,安全應(yīng)被視為需要每個部門支持的全公司職能,CISO不應(yīng)被視為抵御網(wǎng)絡(luò)威脅的孤獨(dú)衛(wèi)士。
安全領(lǐng)導(dǎo)者常常被認(rèn)為減緩了創(chuàng)新。Allen舉例說,初創(chuàng)公司可能抵制在用戶體驗(yàn)中引入影響易用性的安全控制,而媒體公司可能反對數(shù)字版權(quán)管理(DRM)執(zhí)行,因?yàn)樗箖?nèi)容分發(fā)復(fù)雜化。"實(shí)際上,CISO并非反對創(chuàng)新;他們是為了確保可持續(xù)增長,通過將安全嵌入數(shù)字轉(zhuǎn)型努力中,而不是后期添加。" Allen說。
在許多行業(yè),CISO必須平衡風(fēng)險(xiǎn)與業(yè)務(wù)敏捷性、監(jiān)管需求與用戶體驗(yàn),以及網(wǎng)絡(luò)安全與企業(yè)創(chuàng)新目標(biāo)。Allen說:"他們的角色超出了技術(shù)監(jiān)督,他們必須是戰(zhàn)略合作伙伴,架起安全、產(chǎn)品開發(fā)和業(yè)務(wù)運(yùn)營之間的橋梁。"
7.CISO沒有心理健康問題
有一種錯誤的印象,認(rèn)為CISO可以處理工作壓力。盡管組織全天候全年無休地受到攻擊。人們認(rèn)為達(dá)到CISO級別的網(wǎng)絡(luò)安全人員不必?fù)?dān)心自己的心理健康,Touhill認(rèn)為這是"一個惡性神話"。
他強(qiáng)烈鼓勵CISO不僅要為安全團(tuán)隊(duì)的心理健康制定計(jì)劃,還要有一個優(yōu)秀的副手,以便在自己休假的時(shí)候隨時(shí)接手工作。他補(bǔ)充說:"如果馬拉松永不結(jié)束,你就無法贏得馬拉松。你必須照顧好自己,并時(shí)刻關(guān)注自己的心理健康,而不僅僅是你照顧和領(lǐng)導(dǎo)的人。"
