随着网络安全已成为企业决策中越来越重要的考虑因素,相应的举措也将首席信息安全官 (CISO) 的角色提升到了高管层级中的更高职位。 理由似乎是:“如果网络很重要,那么 CISO 也一定很重要。” 然而,提升这一角色会让 CISO 成为沙漠中高呼“安全”的孤独声音,与 IT、工程或产品领域的日常决策者几乎没有联系。
这导致了一些不良后果,比如 Facebook 高管认为公司的安全措施可以 导致长达数小时的延误 回应 4 年 2021 月 XNUMX 日的服务中断,或 Uber 高管 付钱给黑客 那些破坏了他的系统的人,而不是承认这种破坏,或者许多 CISO 投资于“额外的安全层”,而不是承认他们最初做出了糟糕的选择。 在所有这些案例中,CISO 与职能业务部门的隔离无疑在这些决策所反映的狭隘思维中发挥了作用。
组织影响
也许是时候重新构想 CISO 的角色了。 也许最好将 CISO 的重要性体现在组织影响力而非组织地位上。 也许将安全性嵌入到功能单元中会带来更好的安全性。
将 CISO 想象为 IT 组织生态系统的一部分。 他们将参与有关基础设施的每项决策,并且安全问题将成为这些决策的组成部分,而不是事后才附加。 这将允许基于网络的构建和管理方式,而不是外部团体插入到基础设施中的特殊安全功能,提供一套“安全”解决方案。
想象一下软件开发组织中嵌入了一位安全专家。 他们将能够改进开发流程,以确保在编写和测试代码时着眼于安全性,而不会让开发人员承担与他们无关的流程,从而减少公司代码中的漏洞。 想象一下,一个安全专家嵌入到产品线中。 他们将能够确保公司基础设施保护他们的知识产权,并确保他们的开发过程减少产品中的漏洞。
在所有这些情况下,安全性成为基于企业运营现实的企业决策的一个因素。 CISO 的技术专长成为日常工作的组成部分,而不是对其施加的限制。 同样,安全性和合规性需要无缝配合,以确保财务系统以及与合作伙伴和供应商的通信保持安全。 这扩展到电信系统和其他硬件。
风险因素
这似乎是一种更有影响力的方式,可以使安全技术层面在公司执行中发挥强有力的作用。 然而,人们可能想知道这是否会缩小政策层面,使其分裂以解决各个职能部门的特殊利益。 这一问题可以通过扩大首席风险官的角色来解决,将目前由 CISO 承担的安全政策职能纳入其中。
这样做的好处是可以将安全策略保留在 C 级别,从而获得所需的关注。 它的另一个好处是在其他风险的背景下考虑网络安全风险(可用性风险、声誉风险,以解决上述情况)。 安全本身不再是目的,而是开展业务的一个维度。 这并不意味着安全需要与其他问题进行斗争,并做出损害组织安全状况的调整。 相反,它建立了一种环境,将非此即彼的心态转变为寻求满足所有要求的心态。
有许多访问控制技术可以有效地保护 Facebook,而无需锁定自己的人员。 当安全风险与可用性风险一起考虑时,就会出现那些更务实的解决方案。
