调查数据显示,在巨大的工作压力下,全球大中型企业CISO的平均任职时间只有26个月。任期时间短的主要原因是压力过大,现如今,CISO的工作越来越复杂,他们既要应对越来越新颖的安全威胁,还要帮助业务及其他信息化部门保持敏捷、加快开发速度以及保障远程工作的安全稳定。同时,CISO还要充分利用安全预算,并保障企业安全合规。
为了化解这样的压力,CISO往往会采取很多手段来应对。例如在安全产品上设置更多的自主性以防止被安全厂商所影响,制定更详细的安全计划来规避和解释安全风险,另外,还会有CISO积极地向董事会或最高管理层汇报工作,以谋求更高的关注和更重要的地位。但困扰许多CISO的问题是如何建立通畅沟通渠道,作为保障企业信息安全的,CISO应该采用哪些方式来和其他部门及高级管理层进行沟通?董事会或高层又希望CISO能够做些什么?
首先要清楚安全部门的定位,把自己视为其他部门的伙伴。保障企业顺利发展的并非只有信息安全,法务、产品经理、销售团队及公司高层都是CISO合作的目标。做到这一点前提是谦逊,CISO们往往有深厚的、高度专业化的知识,但这不意味着可以颐指气地下达命令或安排工作,任何安全项目或措施都需要有其他部门的配合,要尽可能消除彼此之间的障碍。虽然高级管理人员已经越来越意识到安全功能的重要性,但最近的研究表明,安全性正在导致技术部门和董事会之间复杂的文化障碍。据RSA白皮书显示,70%的CISO报告说,管理安全和风险领导者之间的关系可能很困难。这种困难归因于缺乏共享技术,语言,指标和目标。
为了在企业风险管理框架上进行有效协作,CISO必须建立一个共同的术语。研究公司 International Data Corp. (IDC) 的安全与信任项目副总裁Frank Dickson表示,CISO喜欢使用与网络安全活动相关的指标。这包括诸如处理的警报数量、平均响应时间、平均补救时间和停留时间等指标。但这并不是其他部门感兴趣的概念,Dickson 认为,CISO应该与高级管理层或其他部门的负责人坐下来建立一套衡量标准来传达所需的信息。这不意味着要教会他们网络安全的所有知识,而是改变沟通方式。
另外,不要过分高估已有的网络安全措施。根据IBM商业价值研究院的一项名为“ 保护C-Suite ”的研究,94%的首席执行官认为他们的组织可能会在未来两年内遇到安全事件。虽然企业领导者的意识越来越强,但近一半的受访高管对企业安全态势过于自信。虽然这些高管中有65%对其已经建立起来的安全响应计划非常有信心,但只有17%的企业符合明确定义和实施的网络安全功能的研究标准。
在准备最充分的企业中,执行职能部门通过跨职能协作,授权的CISO和明确的外部协作工作,在安全风险缓解方面发挥积极作用。首席高管的观念与现实之间的巨大差距凸显了CISO与企业领导层之间跨职能合作的重要性。由于近一半的高管表现出过度自信,因此需要提高董事会的安全风险意识。
虽然CISO的职责越来越重要,但许多企业仍有很大的空间来改善安全与业务之间的一致性。很多安全专家会说要与业务保持一致,但实际上却往往是业务与信息安全保持一致。信息安全是企业的成本中心,很多时候还是很难识别其价值的成本中心,因此,需要CISO采取协同合作的方式来保障与业务的一致性。
在安全事件发生之前,CISO应该建立有效的跨职能合作,缓解紧张局势并增进相互理解。对此,可以通过采用以下五个步骤,以便与高层管理人员更有效地合作。
业务和风险之间的主动协作可以增强网络准备。47%的CISO认为,在流程早期将业务风险领导者暴露给IT计划可以帮助团队更准确地评估技术计划的业务风险。美联储的CISO Devon Bryan告诉表示,安全领导者需要立即“优先考虑与业务部门的合作关系”。CISO需要合作以确保满足客户需求和期望,并支持市场推广策略。董事会中的高效协作也要求安全领导者积极建立关系,寻求对话,并确保业务负责人彻底了解安全目标和策略。
虽然CISO精通安全实践的语言,但许多人缺乏对商业风险评估的正式知识。同样,首席风险官和其他高管都精通商业风险语言,如影响和可能性,但缺乏对网络复杂技术方面的洞察力。因此,使用国家标准与技术研究院(NIST)和国际标准化组织(ISO)的定义创建共享分类是在管理企业安全风险时明确定义安全和业务领导者目标和优先级的良好开端。
借助共享语言和对安全性在企业风险框架中的作用的理解,CISO应与执行功能部门协同工作,以开发一套用于沟通企业风险和准备的关键指标。除了针对网络威胁的明确措施之外,统一指标还应涉及业务部门积极保护企业和员工意识的努力。在MISTI文章中,Duke Health 的CISO Chuck Kesler建议企业制定两到三个关于安全和意识的共享年度绩效目标。Kesler表示,记录性能目标能够保证每个人的安全,并自然地创造了检查进度的机会。
在事件发生之前,IT和风险管理之间共享技能和计划的举措至关重要。企业可以推动高管参与信息安全演练,这可以有效地推动合作并保障应急决策的通畅。
安全本质上是一种实时操作,因此,有效的跨职能协作和响应需要依靠工具。为了开发统一的风险管理模型和框架,安全领导者应首先实施全面的安全事件和事件管理(SIEM)解决方案,以提高网络可见性。CISO还要及时更新实时报告和解决方案,将情报分为内部和外部异常,以及响应协调。业务和技术领导者之间的共享技术可以促进对企业安全状况和响应能力的共同理解。
目前,有近一半的CISO努力适应他们在企业中越来越重要的角色,但网络安全和业务风险的融合仍在不断提升。因此,CISO不仅要提升高级管理层的安全意识,还要用合适的方式方法来解答高级管理层所关心的内容。
高级管理层关注的不是安全项目或策略的细节,而是这种策略是否真的奏效。因此,CISO可以从几个方面来回答高级管理层的问题。首先是是否安全,对CISO来说,不存在完全100%的安全,那么就可以通过企业安全的暴露面,安全策略的成功率等方面来回答。其次是是否合规,高级管理层常常会因为时间的变化而改变视角,因此这个问题不能只依赖审计结果,还要辅助一些内部或外部的评估结果进行综合性的回答。最后是是否发生过重大事件,高级管理层会很清楚企业发生的任何重大事件,因此面对这种问题,CISO要通过详细信息、相关成本以及潜在责任等方面来回答。
上海非夕机器人科技有限公司的CISO&DPO刘歆轶表示,在制定安全战略的时候,强调安全战略要与业务战略保持一致,也就是安全要服务于业务。安全的起点是对业务的风险评估,而风险可接受的水平是由公司最高管理层确定的,所以安全更多的是支撑和保护。但面对一些法律底线,安全要有一票否决权的,例如安全合规,数据跨境,隐私保护等等。
在构建计划时,CISO应该用最直接最详细的技术数据转化成业务层面可以理解的架构。所以,指标的设定就尤为关键。
通常,CISO可以使用以下指标:
另外,针对高级管理层可以采用以下指标来提供企业对安全计划的洞察力:
最后,还需要考虑成本和价值。毕竟,财务信息是商业的通用语:
CISO们如果希望高级管理层能够认真对待和理解安全,那么上述指标比杂乱无章的补丁更具有战略眼光。用更专业、更具大局观的策略,来应对日趋复杂的网络安全环境。
Cybersecurity metrics corporate boards want to see—Pete Lindstrom
What does it mean for cybersecurity to “align with the business"?—Pete Lindstrom
齐心抗疫 与你同在
原文始发于微信公众号(安在):CISO应当如何摆正自己的位置?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论