每个CISO都必须回答的10个棘手网络安全问题

从预测新威胁到平衡风险管理和业务支持，CISO面临一系列复杂的挑战，需要不断反思和战略执行。

来源：PeopleImages.com - Yuri A / Shutterstock

随着首席信息安全官 (CISO) 地位和责任的提升，其最高安全角色的挑战也愈发严峻。如今的CISO不仅要持续评估自身安全态势，确定需要做出哪些调整才能充分保护组织，还必须与业务保持一致，以执行关键业务目标，并将风险管理相关的问题和权衡利弊置于公众视野。

在个人责任成为真正问题的时候，为了履行这一日益复杂的职责，首席信息安全官不仅必须不断评估他们的安全堆栈和态势，还必须评估他们的团队文化、整个业务的状态和方向，以及他们在确保组织在无数现有和新兴风险中蓬勃发展方面的地位。

在此，思想领袖提出10个最紧迫的问题，安全主管必须回答这些问题，作为其持续安全战略和职业发展计划的一部分。

1.是业务的推动者还是阻碍者？

全球咨询公司 Protiviti 的董事总经理兼全球安全和隐私负责人Sameer Ansari表示，安全职能部门可能以“说‘不’的部门”而闻名，因此 CISO 应该思考他们和他们的团队是否名副其实。

“首席信息安全官需要问自己：‘我被视为推动者还是阻碍者？’”他补充道。

安萨里解释说，如果首席信息安全官发现高管同事回避他们，或者只在项目进入后期阶段才与他们接触，他们很可能会被视为业务目标的阻碍，而不是业务成功的推动者。同样，如果首席信息安全官只是在办公室闲聊中听说了新举措，而不是在规划会议上以合作伙伴的身份参与，他们也可能被视为阻碍者。

安萨里指出，那些处于这种情况的人可以扭转局面。

安萨里指出：“不要直接拒绝任何想法。要通过咨询的方式帮助他们做他们想做的事情，并且不带任何评判，要让企业了解风险，并让企业自行决定愿意承担多少风险。或者，如果风险超出了组织的风险承受能力，就说，‘让我们升级这个问题。’”

2. 如何才能实现适合公司风险承受能力的安全平衡？

公共会计和咨询公司 BPM 的 CISO Vandy Hamidi表示，为了发挥这种咨询作用，CISO 也需要提出和回答这个问题。

“我的职责是降低风险，确保企业在高效服务客户的同时，能够自信地运营。如果我们把一切都锁定，就会损害业务，让用户感到沮丧，并失去灵活性。但如果安全措施不足，公司就会面临违规、监管风险和声誉损害的风险。”他说道。“为了取得适当的平衡，我们专注于了解企业的运营方式、优先事项、挑战和员工。这意味着我们需要跨职能合作，不仅要评估技术风险，还要评估运营影响。”

3. 向董事会提交的正确指标是什么？

Forrester Research 副总裁兼首席分析师Jeff Pollard表示， CISO 需要展示他们如何推动业务发展，这意味着要确定如何以董事会重视的方式衡量他们的工作。

他说，有关修补系统数量、平均响应时间和平均补救时间的数据并没有让董事会有任何理由认为安全有助于推动业务发展。

Pollard 说，CISO 不应该使用这些指标，而是应该找到能够体现安全在支持业务目标方面所发挥的作用的指标，以及能够帮助高管和董事会做出更好决策的指标。

4.网络安全对组织意味着什么？

咨询公司S-RM美洲网络安全主管Paul Caron表示，CISO 还需要了解安全职能在组织中的位置，以便确定他们是否有权力影响正确的行动。

“很多时候，首席信息安全官 (CISO) 负责应对眼前的风险，但他们真的有能力应对这些挑战吗？他们会得到相应的支持和资源吗？他们真的有高管层的支持来推动变革吗？这些都是现在每个 CISO 都需要扪心自问和扪心自问的问题，”他说道。

在“首席信息安全官实际上要对组织未做好应对网络事件的准备负责”的时代，卡隆表示，首席信息安全官必须知道他们是否拥有与这种责任相符的权力。

卡隆表示称：“他们应该重新评估一个组织如何看待风险管理，以及他们在决策层面拥有多少发言权。这些都是他们需要非常透明地对待的关键问题，一个没有权威的CISO是最糟糕的位置。”

5. 是否有效地传达了技术风险？

Protiviti 的安萨里表示，首席信息安全官还应该扪心自问，是否能够以企业能够理解的方式描述网络安全风险。

他发现安全主管经常用技术术语谈论风险，但与其他高管谈论云容器安全性的缺乏或配置错误等问题，却无助于他们了解风险所在。

安萨里说：“这会让每个人都感到困惑。即使在今天，当董事会成员中有更多的人精通网络技术时，他们仍然会问，‘这到底是什么意思？’”。

他建议 CISO 考虑他们是否真的以企业能够理解的方式讲述安全和风险故事；他建议 CISO 向安全部门内外值得信赖的同事寻求反馈以帮助完成这项任务。

他补充道，这是值得的，因为能够更好地讲述故事的 CISO 能够更有效地传达业务风险，从而为他们带来更多的权力、资源和与业务目标的一致性。

6.团队是否有权挑战我？

没有任何一个人——即使是 CISO——能够始终做出最佳决策，因此安全领导者应该欢迎有关其计划不足之处的信息。

“所以他们必须扪心自问：我的团队是否有权挑战我的决定？我是否鼓励异议？”安萨里说。

Ansari 建议，如果首席信息安全官们发现他们的团队觉得自己不敢畅所欲言，可以通过鼓励讨论、积极应对挑战和征求意见来改善职场文化。Ansari 补充说，简单地问一句“我需要其他观点”，就能有所帮助。

7. 我们的客户希望我们为安全做些什么？

Pollard 表示，CISO 正在通过近年来激增的第三方安全问卷了解客户的安全优先事项。这些问题让 CISO 能够深入了解客户关心的问题，以及他们希望 CISO 所在的组织从安全角度采取哪些行动。

“如果你理解了这一点，你就可以构建安全的商业案例，”他说道，并解释说，CISO 可以使用某些客户寻求的安全控制成本以及这些客户产生的收入来计算安全工作的价值。“CISO 需要弄清楚：有多少客户向我们提出这样的要求，以及这些要求带来的收入是多少？”

8. 该组织的所有数据实际上存储在哪里？

科技公司 Transcend 的常驻 CISO 兼 UnitedHealth Group 前 CISO Aimee Cardwell对提出这个问题的原因有着切身体会，她说道：“经验以最痛苦的方式告诉我，数据存在于我从未见过的地方。”

例如，她发现敏感数据隐藏在发票文件夹、旧影子项目的服务器和数据库中。她还指出，在公司收购和合并后，首席信息安全官 (CISO) 的数据可能存储在未知位置。“然后你把人工智能融入其中，你可能会在不知情的情况下泄露数据，”她补充道。

玛丽维尔大学约翰·西蒙商学院技术副院长兼网络安全助理教授Brian M. Gant表示，CISO 需要不断问自己：“组织中最有价值的数据在哪里？我们如何保护它？”以及“王国的钥匙在哪里？”，以帮助他们解决这个问题并确保他们充分保护敏感数据。

全球咨询公司SSA & Co. 应用解决方案负责人Nick Kramer也建议首席信息安全官 (CISO) 了解自身是否具备必要的洞察力，了解组织非结构化数据的存储位置以及这些数据是否得到了适当的保护。例如，他建议 CISO 引导组织停止通过电子邮件发送附件，而是发送存储在安全位置的文档链接，将文件从员工设备转移到相同的安全位置，并实施加密。

9. 人工智能将如何影响我的人员配置？

近年来，首席信息安全官们对其安全团队进行了培训，以支持业务团队安全地使用人工智能。如今，随着人工智能在安全部门中日益成为重要的工具，他们需要调整自身的人员配置策略。“他们需要探索，人工智能会对我的员工配置产生什么影响？我的组织将如何改变？” Pollard 说。

他表示，首席信息安全官 (CISO) 必须考虑团队成员如何与人工智能 (AI) 代理协同工作，以及他们是否已做好有效应对的准备。他们还应该考虑安全运营中心的人员配置将如何变化。例如，Pollard 表示，人工智能可能会减少对入门级员工的需求，但可能意味着需要更多的二级分析师。如果一级 SOC 分析师岗位的招聘人数减少， CISO就必须思考如何招聘和培训这些高级分析师。

10. 下一次可能令我感到意外的袭击是什么？

“下一个漏洞或下一个威胁是什么？”SSA 的克莱默说，这是一个需要提出和回答的关键问题。当然，首席信息安全官们长期以来一直担心零日漏洞。他们必须继续担忧。但他们也需要考虑，不断演变的攻击面和日益复杂的攻击者可能会几乎瞬间在他们的安全计划中制造漏洞。

Transcend驻地CISO卡德威尔表示：“我最大的恐惧始终是我不知道的事情，我会在哪里感到惊讶。”

为了缓解这种担忧，玛丽维尔大学的甘特建议首席信息安全官们问自己“我的攻击面是什么？”和“谁在追踪我，为什么？”，并根据这些问题的答案制定适当的计划来保护数据和系统。

根据FS-ISAC的Denning的说法，另一个需要问的问题是：我是否拥有适合用途且面向未来的防御技术堆栈？

他补充道：“强大的新工具正在为不法分子提供武器，使其能够更有效地实施欺诈、勒索软件和DDoS攻击等威胁。首席信息安全官需要评估自己是否拥有合适的工具和人才来对抗这些威胁并应对新兴威胁。”

例如，Denning表示，CISO应该清点他们的加密资产，为量子改变他们所有计划的那一天做好准备。

Kramer表示，首席信息安全官 (CISO) 需要付出更多努力才能领先于未来。他建议CISO任命专人负责前瞻性研究，就像CTO通常安排专人研究新兴技术一样。

“首席信息安全官们都在展望未来，但他们往往在等待其他人弄清楚情况并告诉他们该怎么做，这意味着修复方案往往取决于一些成功的攻击，”Kramer 说。“但如今，你必须具备实验的眼光，真正尝试弄清楚下一步该怎么做，或许可以使用模拟工具来寻找新的攻击面。”