首席信息安全官(CISO)職業生涯的九大致命錯誤 | CSO Online
首席信息安全官(CISO)和其他IT安全高管通常都在努力保護企業安全——以及自己的職業生涯。但一個小小的疏忽、錯誤假設或不當建議,就可能讓所有努力瞬間付諸東流。
如果你希望保住職位,請務必避免以下九種行為。
1. 高估自身能力
過度自信可能導致職業生涯嚴重受挫,特別是當這種自信促使你采用那些可能流行但未經實踐檢驗的(安全)解決方案時。安全軟件供應商Xypro Technology Corporation的CISO Steve Tcherchian進一步闡述:"這類'方法'會制造安全漏洞,增加人為失誤風險,并給利益相關者帶來虛假的安全感——直到最終發生災難性安全事件。"
Xypro的CISO還警告,過度自信也可能導致IT安全決策者及其團隊陷入自滿:"當個人或企業認為已經建立了足夠的安全流程時,他們的警惕性就會降低,防護措施逐漸過時——面對新威脅的脆弱性也隨之增加。"
2. 制造復雜系統
那些被技術趨勢或炒作吸引,而非專注于角色核心任務的CISO,同樣可能面臨職業危機。企業咨詢公司EY的全球網絡安全咨詢負責人Richard Watson描述了這種做法的后果:"結果就是采購了大量引入不必要復雜性并分散注意力的技術。這種復雜性會在集成過程中產生額外成本,同時暴露出新的安全漏洞,可能被攻擊者利用。"
EY首席顧問補充說,更糟糕的是,復雜性也可能傳遞虛假的安全感——畢竟企業會認為采用最新技術能提供更高程度的保護。
3. 忽視GRC管理
另一個可能斷送安全職業生涯的做法是:在沒有正式GRC(治理、風險與合規)計劃的情況下構建網絡安全架構。網絡服務提供商Velaspan的CISO Scott Hawk詳細解釋了原因:"這個錯誤可能造成毀滅性影響,因為它涉及企業的多個方面。沒有健全的GRC計劃,就更可能發生技術支出過高、產生虛假安全感、忽視關鍵安全組件以及無法與其他業務部門協調等問題。"
Hawk建議采用COBIT等GRC框架作為解決方案,確保風險管理、合規要求和治理融入企業整體戰略:"GRC將使網絡安全成為全企業的討論話題,有助于確定優先級并獲得認可。通過GRC,網絡安全將成為業務推動力。"
4. 偏離業務目標
安全專業人士可能犯的最大錯誤既非技術性也非財務性。平臺提供商Axio的高級網絡安全顧問Richard Caralli認為,對CISO職業生涯最具破壞性的甚至不是未能識別潛在威脅:"最大的錯誤是沒有在組織整體背景下規劃和實施網絡安全計劃。保護對企業生存至關重要的資產,應該決定網絡安全的優先事項和投資方向。"
Caralli強調,CISO的職責無疑包括制定符合企業目標和價值觀的網絡安全計劃。如果缺乏這種一致性,他預測將產生不良后果:"可能導致投資方向錯誤、資源利用不足以及整體網絡安全效果不佳。"
5. 輕視訪問控制
網絡安全決策者也存在"只見樹木不見森林"的情況。例如,當CISO花費大量時間考慮系統中的后門問題時,卻忽視了訪問控制這個主題。身份安全專家Zilla Security聯合創始人Nitin Sonawane警告:"數字身份是系統的主要入口。如果保護不足或配置錯誤,后果可能很嚴重——特別是過度授權的身份在遭受攻擊時風險更高。"
這位安全專家指出,企業經常未能妥善管理離職員工和合作伙伴的訪問權限,導致遺留賬戶可能被威脅行為者利用。Sonawane確信,人工智能是最有效的身份管理方式:"大多數企業現在都使用HR應用程序作為每個用戶業務檔案的真實來源。當發生人事變動時,通常由用戶的新主管根據業務背景決定其所需權限。AI可以輔助這一過程。"
6. 忽視人為因素
眾所周知,IT安全決策者如果只關注技術解決方案和流程(包括職業發展方面)將難有建樹。IT咨詢公司Presidio的現場CISO Dan Lohrmann甚至認為這是可能犯的最大錯誤:"人始終是最大的安全弱點。低估或忽視這一事實的安全專家注定會失敗。"
Lohrmann表示,員工規避控制措施、既定政策和流程的傾向可能導致一系列內部威脅,他在這方面有豐富經驗:"我見過員工通過不作為、制造團隊內部矛盾或承擔不必要風險等方式破壞優秀的網絡安全計劃。需要記住的是,人也會隨時間改變:一些曾經優秀的員工可能因職業倦怠或生活困境而失去專注力,這可能造成與未經培訓或惡意用戶同樣大的損害。"
作為補救措施,這位現場CISO建議首先優化招聘流程,包括對新員工進行詳盡的背景調查。他認為這能顯著提升內部安全水平。Lohrmann補充說:"識別潛在職業倦怠跡象的能力同樣重要。"
7. 積壓陳舊數據
在云存儲中"發霉"的過時數據集可能不太顯眼,因此容易被遺忘——但它們隨時可能成為CISO職業生涯的"殺手"。
數據安全提供商Metomic CEO Rich Vibert指出問題所在:"這些數據存在從安全漏洞到合規問題的重大風險。允許這種情況發生是特別愚蠢的錯誤,因為它完全可以避免。過時數據可能包含敏感信息,如果落入壞人之手而訪問控制又不嚴格,將非常危險。"
Vibert還表示,陳舊數據可能為網絡犯罪分子提供有價值的歷史信息,用于更有針對性的社會工程攻擊。
8. 固守信息孤島
如果與非技術領域的利益相關者缺乏有效溝通,不僅可能引發誤解、不信任和混亂:受影響的CISO在爭取安全預算時也會更加困難。
Ventana Research總監Jeff Orr建議IT安全決策者在解釋關鍵安全問題和業務影響時使用商業術語:"提供將安全概念與業務活動聯系起來的實例——并在報告過程中確保清晰度。"
9. 盲目自滿
最具CISO職業生涯"殺傷力"的錯誤是認為一切盡在掌控。安全提供商Radware的CISO Howard Taylor見過屈服于這種假設的人——也知道他們的職業生涯通常如何收場:"這類領導者主要依賴大量認證來防范網絡犯罪分子。當企業遭遇大規模數據泄露后,他們最后的臺詞是'我們已獲得PCI DSS認證'。"
