CISO 需要支持来负责安全

由柏拉图重新发布

关注： 0

CISO 需要支持来负责 PlatoBlockchain 数据智能的安全。垂直搜索。人工智能。

根据一个最近的报道财富5强企业中只有100家在列出高层管理人员时将其安全负责人计算在内。

CISO 的角色及其与影响力的关系影响力一直是企业老派的共舞。 CISO 真的有权阻止业务线高管做有风险的事情吗？如果 CISO 尝试的话， CISO 得到 CEO 的支持和别的？

最近由 Derek Andrews 发起的 LinkedIn 讨论一位大型非营利组织的网络安全运营和事件响应总监，他说他不愿透露姓名，这很好地概括了人们的担忧。

“CISO 的角色实际上并不是任何事情的负责人，只不过是在时机成熟时承担责任的人。 CISO 并不属于首席执行官的核心圈子。他们就像是第四环。这意味着安全销售必须经过其他三个程序才能获得真正的组织批准，到那时，它就会被淡化为进行更多的网络钓鱼培训，”安德鲁斯写道。

安德鲁斯随后提出了一个关键问题：如果某件事风险太大，为什么企业允许每个业务部门自行决定，而不是让 CISO 决定？

“我从未见过任何地方允许每个业务部门运行自己的网络。那么，为什么我们允许营销人员接受可能影响组织中每个业务部门的网络风险呢？接受就意味着所有权，我们都知道，网络风险接受业务部门永远不会承担责任。承担责任的是 CISO，”安德鲁斯写道。 “在财务风险和绩效方面，首席财务官拥有最终决定权。你永远不会听到首席财务官说：“好吧，如果你接受风险，那么你就能做到。” 这不是他们做的事。作为首领，他们拥有最终权力，并对自己管辖范围内的一切负责。”

学习领导力术语

为什么企业给予 CISO 的权力比其他 C 级管理人员的权力要少得多？这不仅破坏了企业网络安全战略。它可能会产生进一步削弱安全态势的间接影响，因为 CISO 会变得胆怯，担心自己会被推翻，并开始为他们知道不应获得批准的工作开绿灯。

Barak Engel，安全公司 EAmmune 的首席执行官一书的作者 CISO 为何失败认为这个问题很大程度上源于华尔街和其他市场力量。当宣布重大安全漏洞时，公司有时会看到股价下跌，但这几乎总是暂时的。

“违规行为不会产生长期负面影响。股价恢复得相当快，”恩格尔说。 “首席执行官的结论是，安全在最初几个月后就不再重要了。但首席信息安全官认为这确实很可怕，首席执行官们对此表示怀疑。”

尽管这句话已经说过很多次了，但恩格尔坚持认为这可以追溯到 CISO 无法有效沟通以纯粹的商业术语向首席执行官和业务部门负责人传达。 “有一次我想听到 CISO 使用‘现金流’这个词。如果我们从您那里听到的都是可怕的故事，那么您还没有了解 C 级意味着什么。你还没有采用商业语言，”他说。

建立业务支持

问题的另一部分是相对的新鲜感，至少在首席执行官的战略板块上如此，网络安全。财富 500 强公司的首席执行官团队拥有几代人的经验，了解并适应法律、财务、人力资源、投资者关系、合规性和其他业务部门中存在的风险和不确定性。但对于许多首席执行官来说，网络安全风险似乎很尴尬且难以掌控。

NTT 澳大利亚网络安全总监 Dirk Hodgson 表示：“大多数商业风险是静态的，但网络风险绝对不是静态的。” “在网络安全方面，风险并未得到普遍认可或明确。这可能不是对 CISO 的不尊重，而是商业环境中沟通不畅的表现。网络安全和其他业务部门的期望存在根本差异。在我们解决这个问题之前，我们将陷入同一个境地。”

Vectra AI 首席技术官奥利弗·塔瓦科利 (Oliver Tavakoli) 认为，网络安全本身的性质导致了这个问题。尽管 CISO 定期向高层管理人员发布有关各种问题的备忘录，但在安全紧急情况发生之前，这些备忘录常常被忽视。

“网络安全仅在危机期间得到解决。几乎总是在消极的情况下进行对话。这使得建立这种融洽的关系变得非常困难，”塔瓦科利说。 “大多数 CISO 都坚持成为其他 CISO 的英雄，而不是其他高管的英雄。”

网络安全咨询公司 Cap Group 首席执行官布莱恩·沃克 (Brian Walker) 补充道：“这一切都与权威和尊重有关。如果你有权力，而你的老板不支持你，那么 CISO 就没有真正的权力。”