在過去,CISO往往由於組織受到網絡事故而備受責難。由於CISO負責數據安全,因此一旦有洩露事件發生,就會被視為是CISO的失責。不過,隨著企業對網絡安全理解的演化,這個觀念開始改變:如今的CISO開始有成為一名英雄的機會,而不是在受到攻擊後成為一名罪人。
講個故事:幾年前,某個安全廠商自己內部的網絡遭到安全事件影響被中斷。內部的安全團隊使用的是公司自己的產品,而CISO被允許在本地修改產品代碼,從而滿足他自身的使用需求。在攻擊發生後,他的團隊做的工作,使得原本會成為一個大規模社會性的安全事件縮小成為了一個完全可以被控制住的小型事故。
在事故期間,安全團隊和產品開發團一起進行響應,同時向開發人員解釋攻擊是如何產生的,以及他們做了哪些改動阻止了攻擊。另一方面,CISO經常向最高管理層和董事會彙報工作,包括安全團隊對產品的改動帶來了怎樣的變化。他尤其詳細地解釋瞭如何改動產品後阻斷了攻擊者的通信,以及產品如何和其他廠商的安全產品對接從而提高了阻斷速度。
開發負責人不僅沒有指責、懷疑或者威脅CISO,還在最高管理層面前讚揚了安全團隊對產品的改造。最終CISO擔任了更重要的產品開發角色,並對業務的提升做出了貢獻。
現代CISO需要什麼
儘管說這個樣本可能無法適用於所有行業,但是至少可以說明 在企業發生嚴重的安全事件後該做哪些重要的事。
隨著新的攻擊相比防禦技術而言發展得更快,對CISO有不切實際的高標準對誰都沒有好結果。事實是,無論使用了多少技術或者安全能力如何強大,百分百的防範攻擊就是不可能的。高層管理和董事會可能終於開始意識到這個現實,或者他們可能開始明白,和組織其他部門一起進行一次成功的攻擊響應,會對事件的最終影響有更正面的意義。
CISO是唯一負責對網絡風險進行評估並設法對其進行降低的人。有經驗的CISO能清楚地明白自己企業面臨的威脅,並且知道如何通過將人員、流程、技術最優化融合,和威脅進行對抗,達到最高等級的防護。能意識到這一點的組織正在將CISO的位置從技術經理轉變為戰略性風險領袖。
在這個轉變下,CISO和他們的團隊,將自己的技術和專業性轉化為對網絡災害的對抗能力,就只是時間問題了。當這個時機發生的時候,成敗與否只取決於他們在組織的授權下能在事前、事中和事後採取怎樣必要的步驟。
一個擁有職權的CISO是怎樣的?
首先,他們在組織內部有很強的職場支持。他們能參與到會影響整個企業安全性的決策中。
其次,他們對網絡風險管理的預算有很高的職權,包括保險、響應和災後恢復。CISO一般在攻擊發生時需要協調多方人員,包括外部顧問、保險公司、事件響應承包商、架構恢復承包商等等。空有責任卻沒有預算或者職權,很容易在關鍵時刻一敗塗地。
最後,董事會和高層管理能夠認識到沒有任何方案能完美地解決網絡威脅,而攻擊頻率的增加意味著最終會有一次攻擊能夠成功。他們能夠理解在事故發生後指責CISO是不公平的,也會讓組織失去一個獲取更多經驗的機會,更可能會失去一個能在未來讓企業更安全的專業人才。
最終,隨著如今對CISO角色越來越多的理解,給予CISO足夠的支持、職權和資源,是讓CISO成為企業英雄的關鍵。
關鍵詞:CISO;
閱讀更多 數世諮詢 的文章
