從預(yù)見新威脅到平衡風(fēng)險(xiǎn)管理與業(yè)務(wù)賦能，CISO面臨著一系列復(fù)雜的挑戰(zhàn)，這些挑戰(zhàn)需要他們持續(xù)反思并戰(zhàn)略性地執(zhí)行。

隨著CISO地位的提升和責(zé)任的加重，企業(yè)對(duì)這一頂級(jí)安全角色的要求變得更加嚴(yán)苛，除了需要不斷評(píng)估其安全態(tài)勢(shì)以確定如何做出適當(dāng)調(diào)整來(lái)充分保護(hù)企業(yè)外，如今的CISO還必須以某種方式與業(yè)務(wù)保持一致，以強(qiáng)化關(guān)鍵業(yè)務(wù)目標(biāo)——并將風(fēng)險(xiǎn)管理的問題和權(quán)衡置于聚光燈下。

為了在個(gè)人責(zé)任成為真正關(guān)切的時(shí)候履行這一日益復(fù)雜的職責(zé)，CISO必須不斷評(píng)估的不僅僅是其安全堆棧和態(tài)勢(shì)，還有其團(tuán)隊(duì)的文化、業(yè)務(wù)的整體狀態(tài)和方向，以及他們?cè)诖_保企業(yè)在眾多現(xiàn)有和新興風(fēng)險(xiǎn)中蓬勃發(fā)展方面的位置。

在此，思想領(lǐng)袖們提出了安全主管在持續(xù)的安全戰(zhàn)略和職業(yè)成長(zhǎng)計(jì)劃中必須回答的10個(gè)最緊迫的問題。

1. 我是業(yè)務(wù)賦能者還是阻礙者?

安全職能有時(shí)可能被視為“‘不’的部門”，因此CISO應(yīng)該思考自己和團(tuán)隊(duì)是否真的如此，Protiviti全球咨詢公司的常務(wù)董事兼全球安全與隱私負(fù)責(zé)人Sameer Ansari說(shuō)道。

“CISO需要問：‘我是被視為賦能者還是阻礙者?’”他補(bǔ)充道。

Ansari解釋說(shuō)，如果CISO發(fā)現(xiàn)其執(zhí)行同事避開他們或只在項(xiàng)目后期階段才與他們接觸，那么他們很可能被視為業(yè)務(wù)目標(biāo)的阻礙者而非業(yè)務(wù)成功的賦能者。同樣，如果CISO是通過辦公室閑聊而非作為規(guī)劃會(huì)議中的伙伴得知某些倡議的，那么他們也可能被視為障礙者。

處于此類情況的CISO可以扭轉(zhuǎn)局面，Ansari指出。

“不要只是否決想法，要以咨詢的方式幫助他們實(shí)現(xiàn)目標(biāo)，并且不要做出評(píng)判，”他解釋道，“向業(yè)務(wù)部門傳授風(fēng)險(xiǎn)知識(shí)，并讓業(yè)務(wù)部門決定要承擔(dān)多少風(fēng)險(xiǎn)，或者，如果這超出了企業(yè)的風(fēng)險(xiǎn)容忍水平，那么就說(shuō)，‘讓我們升級(jí)處理這個(gè)問題吧。’”

2. 我們?nèi)绾螢楣撅L(fēng)險(xiǎn)容忍度實(shí)現(xiàn)正確的安全平衡?

為了扮演好咨詢角色，CISO還需要提出并回答這個(gè)問題，公共會(huì)計(jì)和咨詢公司BPM的CISO Vandy Hamidi說(shuō)道。

“我的角色是降低風(fēng)險(xiǎn)，使業(yè)務(wù)能夠自信地運(yùn)營(yíng)，同時(shí)有效地服務(wù)客戶。如果我們把一切都鎖得太緊，就會(huì)損害業(yè)務(wù)，讓用戶感到沮喪，并失去敏捷性，但如果我們保護(hù)不足，就會(huì)使公司面臨泄露、監(jiān)管風(fēng)險(xiǎn)和聲譽(yù)損害，”他說(shuō)道，“為了達(dá)到正確的平衡，我們專注于了解業(yè)務(wù)的運(yùn)營(yíng)方式、其優(yōu)先級(jí)、挑戰(zhàn)以及人員，這意味著要跨職能合作，不僅要評(píng)估技術(shù)暴露，還要評(píng)估運(yùn)營(yíng)影響。”

為了做到這一點(diǎn)，Hamidi的團(tuán)隊(duì)與業(yè)務(wù)領(lǐng)導(dǎo)者和同事緊密合作，在確保客戶和企業(yè)數(shù)據(jù)得到充分保護(hù)的同時(shí)，將安全與業(yè)務(wù)保持一致。“這不僅僅是關(guān)于技術(shù)保障;而是關(guān)于建立信任、用業(yè)務(wù)術(shù)語(yǔ)傳達(dá)風(fēng)險(xiǎn)，并使安全成為戰(zhàn)略賦能者而非阻礙者。”他說(shuō)道。

金融服務(wù)信息共享和分析中心(FS-ISAC)的CISO John Denning表示，CISO還可以問自己：“安全是否在支持業(yè)務(wù)的同時(shí)保護(hù)客戶和客戶?”

“CISO需要平衡這兩者，”他說(shuō)道，“例如，我們正在看到‘智能摩擦’的興起——即在用戶體驗(yàn)中戰(zhàn)略性地放置障礙物，以增加安全性并減緩支付授權(quán)。”

3. 應(yīng)該向董事會(huì)呈現(xiàn)哪些合適的指標(biāo)?

CISO需要展示他們是如何賦能業(yè)務(wù)的，這意味著要找出如何以董事會(huì)認(rèn)為重要的方式衡量他們的工作，F(xiàn)orrester Research的副總裁兼首席分析師Jeff Pollard說(shuō)道。

他表示，關(guān)于已修補(bǔ)系統(tǒng)數(shù)量、平均響應(yīng)時(shí)間和平均修復(fù)時(shí)間的數(shù)據(jù)并不會(huì)讓董事會(huì)認(rèn)為安全有助于推動(dòng)業(yè)務(wù)發(fā)展。

相反，CISO需要找出能夠說(shuō)明安全在支持業(yè)務(wù)目標(biāo)方面作用的指標(biāo)，以及能夠使高管和董事會(huì)做出更好決策的指標(biāo)，Pollard說(shuō)道。

4. 網(wǎng)絡(luò)安全對(duì)企業(yè)意味著什么?

CISO還需要了解安全職能在企業(yè)中的位置，以便他們能夠確定自己是否有權(quán)力影響正確的行動(dòng)，咨詢公司S-RM美洲區(qū)網(wǎng)絡(luò)安全負(fù)責(zé)人Paul Caron說(shuō)道。

“很多時(shí)候，CISO負(fù)責(zé)應(yīng)對(duì)眼前的風(fēng)險(xiǎn)，但他們是否真的處于能夠應(yīng)對(duì)這些挑戰(zhàn)的位置?他們是否會(huì)得到相應(yīng)的支持和資源?他們是否真的擁有執(zhí)行級(jí)別的支持來(lái)成為變革的推動(dòng)者?這些都是現(xiàn)在每個(gè)CISO尤其需要問自己和他人的問題，”他說(shuō)道。

在“CISO實(shí)際上要對(duì)并為企業(yè)未做好應(yīng)對(duì)網(wǎng)絡(luò)事件的準(zhǔn)備而負(fù)責(zé)，甚至可能被追究責(zé)任”的時(shí)代，Caron表示，CISO必須知道他們是否擁有與責(zé)任相匹配的權(quán)力。

“他們應(yīng)該重新評(píng)估企業(yè)如何看待風(fēng)險(xiǎn)管理，以及他們?cè)跊Q策桌上被賦予了多少話語(yǔ)權(quán)。這些都是他們需要對(duì)自己非常透明的關(guān)鍵問題，”他說(shuō)道，并補(bǔ)充說(shuō)，“沒有權(quán)力的CISO是最糟糕的位置。”

5. 我是否有效地傳達(dá)了技術(shù)風(fēng)險(xiǎn)?

CISO還應(yīng)該問自己是否能夠以業(yè)務(wù)能夠理解的方式闡述網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，Protiviti的Ansari說(shuō)道。

他看到安全主管們經(jīng)常用技術(shù)術(shù)語(yǔ)談?wù)擄L(fēng)險(xiǎn)，但與其他高管談?wù)撊狈υ迫萜靼踩蚺渲缅e(cuò)誤等問題，并不會(huì)幫助他們理解其中的利害關(guān)系。

“那會(huì)超出所有人的理解范圍。即使現(xiàn)在董事會(huì)中有更多對(duì)網(wǎng)絡(luò)有所了解的成員，他們?nèi)匀粫?huì)問，‘這到底意味著什么?’”Ansari說(shuō)道。

他建議CISO考慮自己是否真的在用業(yè)務(wù)能夠理解的方式講述安全和風(fēng)險(xiǎn)故事，他建議CISO向安全部門內(nèi)外值得信賴的同事尋求反饋以幫助完成這項(xiàng)任務(wù)。

他補(bǔ)充說(shuō)，這是值得努力的，因?yàn)橹v述更好故事的CISO在傳達(dá)業(yè)務(wù)風(fēng)險(xiǎn)方面更有效，這會(huì)使他們獲得更多權(quán)力、資源和與業(yè)務(wù)目標(biāo)的一致性。

6. 我的團(tuán)隊(duì)是否感到有權(quán)力挑戰(zhàn)我?

沒有一個(gè)人——即使是CISO——能夠始終做出最佳決策，因此安全領(lǐng)導(dǎo)者應(yīng)該歡迎有關(guān)其計(jì)劃不足的信息。

“所以他們必須問自己：我的團(tuán)隊(duì)是否感到有權(quán)力挑戰(zhàn)我的決策?我是否在鼓勵(lì)異議?”Ansari說(shuō)道。

Ansari建議，發(fā)現(xiàn)團(tuán)隊(duì)不認(rèn)為自己可以發(fā)聲的CISO應(yīng)該通過鼓勵(lì)討論、積極回應(yīng)挑戰(zhàn)和征求意見來(lái)改善其工作場(chǎng)所文化。Ansari補(bǔ)充說(shuō)，簡(jiǎn)單地問一句“我需要其他人對(duì)這個(gè)問題的看法”就可以有所幫助。

7. 我們的客戶希望我們?cè)诎踩矫孀鲂┦裁?

CISO正通過近年來(lái)激增的第三方安全問卷從客戶那里了解其安全優(yōu)先級(jí)，Pollard說(shuō)道。這些問題使CISO能夠洞察客戶關(guān)心的內(nèi)容以及他們希望CISO的企業(yè)從安全角度采取的措施。

“如果你了解這一點(diǎn)，就可以為安全構(gòu)建商業(yè)案例，”他說(shuō)道，并解釋說(shuō)CISO可以使用某些客戶要求的安全控制的成本以及這些客戶產(chǎn)生的收入來(lái)計(jì)算安全工作的價(jià)值。“CISO需要繪制出這個(gè)圖表：有多少客戶向我們提出了這個(gè)要求，以及他們的收入是多少?”

8. 我們企業(yè)的所有數(shù)據(jù)實(shí)際上都存儲(chǔ)在哪里?

科技公司Transcend的駐場(chǎng)CISO兼前UnitedHealth Group的CISO Aimee Cardwell深知提出這個(gè)問題的原因，她說(shuō)道：“經(jīng)驗(yàn)以最痛苦的方式告訴我，數(shù)據(jù)就在某個(gè)我沒看到的地方。”

例如，她發(fā)現(xiàn)敏感數(shù)據(jù)隱藏在發(fā)票文件夾中以及來(lái)自舊影子項(xiàng)目的服務(wù)器和數(shù)據(jù)庫(kù)中。她還指出，在公司收購(gòu)和合并后，CISO可能在未知位置有數(shù)據(jù)。“然后你再將AI融入其中，就可能會(huì)泄露你甚至不知道的數(shù)據(jù)，”她補(bǔ)充道。

Maryville大學(xué)John E. Simon商學(xué)院副院長(zhǎng)兼網(wǎng)絡(luò)安全助理教授Brian M. Gant表示，CISO需要不斷問自己：“我們企業(yè)最有價(jià)值的數(shù)據(jù)在哪里，以及我們?nèi)绾伪Ｗo(hù)它?”和“‘王國(guó)’的鑰匙在哪里?”以幫助他們解決這個(gè)問題并確保充分保護(hù)敏感數(shù)據(jù)。

全球咨詢公司SSA & Co.的應(yīng)用解決方案主管Nick Kramer也建議CISO問自己是否對(duì)企業(yè)中非結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)位置有足夠的了解，以及這些數(shù)據(jù)是否得到了適當(dāng)?shù)谋Ｗo(hù)。例如，他建議CISO讓企業(yè)不再通過電子郵件發(fā)送附件，而是發(fā)送鏈接到存儲(chǔ)在安全位置的文件，將文件從員工設(shè)備中移出到這些相同的安全位置，并實(shí)施加密。

9. AI將如何影響我的人員配置?

近年來(lái)，CISO已經(jīng)培訓(xùn)了其安全團(tuán)隊(duì)以支持業(yè)務(wù)團(tuán)隊(duì)對(duì)AI的安全使用。現(xiàn)在，隨著AI在安全部門內(nèi)部成為越來(lái)越重要的工具，他們需要調(diào)整自己的人員配置策略。“他們需要探索AI對(duì)我人員配置的影響是什么?我的企業(yè)將如何不同?”Pollard說(shuō)道。

他表示，CISO必須考慮其團(tuán)隊(duì)成員將如何與AI代理協(xié)同工作，以及他們是否準(zhǔn)備好有效地這樣做。他們還應(yīng)該考慮安全運(yùn)營(yíng)中心(SOC)的人員配置將如何變化。例如，Pollard表示AI可能會(huì)減少對(duì)入門級(jí)員工的需求，但可能意味著需要更多二級(jí)分析師。這要求CISO思考如果更少的二級(jí)SOC分析師來(lái)自一級(jí)分析師職位，他們將如何招募和培訓(xùn)這些高級(jí)分析師。

10. 下一個(gè)可能讓我感到意外的攻擊是什么?

“下一個(gè)漏洞或下一個(gè)威脅是什么?”SSA的Kramer表示，這是需要提出并回答的關(guān)鍵問題。

當(dāng)然，CISO長(zhǎng)期以來(lái)一直擔(dān)心零日漏洞，他們必須繼續(xù)這樣做，但他們還需要考慮不斷演變的攻擊面和攻擊者日益增長(zhǎng)的復(fù)雜程度如何幾乎瞬間就在他們的安全計(jì)劃中留下漏洞。

“我最害怕的總是我不知道的事情，我會(huì)在哪里感到意外。”Transcend的駐場(chǎng)CISO Cardwell說(shuō)道。

為了緩解此類恐懼，Maryville大學(xué)的Gant建議CISO問自己：“我的攻擊面是什么?”和“誰(shuí)在攻擊我以及為什么?”并使用答案來(lái)制定保護(hù)數(shù)據(jù)和系統(tǒng)的適當(dāng)計(jì)劃。

FS-ISAC的Denning表示，另一個(gè)需要問的問題是：“我的防御技術(shù)堆棧是否適合當(dāng)前需求并面向未來(lái)?”

“強(qiáng)大的新工具正在武裝不良行為者以實(shí)施更有效的欺詐、勒索軟件和分布式拒絕服務(wù)(DDoS)攻擊等威脅，”他補(bǔ)充道，“CISO需要評(píng)估他們是否擁有對(duì)抗這些威脅并應(yīng)對(duì)新興威脅的正確工具和人才。”

例如，Denning表示CISO應(yīng)該對(duì)其加密資產(chǎn)進(jìn)行盤點(diǎn)，以準(zhǔn)備應(yīng)對(duì)量子計(jì)算可能改變所有計(jì)劃的那一天。

Kramer表示，CISO需要采取更多措施來(lái)領(lǐng)先于未來(lái)。他建議CISO任命工作人員來(lái)前瞻未來(lái)，就像首席技術(shù)官通常有人來(lái)研究新興技術(shù)一樣。

“CISO正在向前看，但往往他們是在等待其他人弄清楚并告訴他們?cè)撛趺醋觯@意味著修復(fù)措施是因?yàn)槟承┏晒舳_定的，”Kramer說(shuō)道，“但現(xiàn)在你必須有一個(gè)實(shí)驗(yàn)的視角，并真正嘗試找出下一步是什么，或許可以使用模擬工具來(lái)發(fā)現(xiàn)新的攻擊面。”