评论
公司认识到网络安全的重要性,并越来越多地将其作为一项资产纳入其运营战略中。但通过混合安全和运营,组织可能会削弱首席信息安全官 (CISO) 的核心使命:保护公司资产免受不必要的攻击。
追溯到 1990 世纪 20 年代,CISO 的角色更加注重技术和 IT。安全是黑白分明的,各部门努力消除任何被视为风险的东西。然而,在过去的XNUMX年里,这份工作发生了变化。 CISO 面临着无法解决的更多风险,需要平衡安全与运营能力,并且必须说服领导者投资于保护。
如今,CISO 还需要尊重业务需求,同时仍对违规行为负责。在社交活动中,我看到越来越多具有商业背景的 CISO 较少关注工作的网络方面,而更多地关注支持业务优先事项。
这种转变可能会让公司陷入不稳定的境地。为了速度而放松网络安全尽职调查不仅威胁公司数据的安全,还会带来不必要的风险。这并不是微不足道的。根据 IBM 的“2023 年数据泄露成本报告” 2023 年数据泄露的平均成本为 4.45 万美元,三年内增长了 15%。
2024 年,我们需要再次重新思考 CISO 的角色。当今的 CISO 必须帮助其组织了解,优先考虑降低风险是企业面对现代威胁时保持弹性的关键。
当今的 CISO:坚韧的政治家
CISO 曾经能够基于这样的想法来推销自己的重要性:用网络术语来说,天正在塌下来。但随着公司业务和安全方面的合并,公司责任开始发挥作用。 CISO 的重点从风险规避转向风险态势,并考虑在追求业务目标时可接受的水平。
在许多情况下,产生收入的业务部门现在对可接受的风险水平拥有最终决定权,包括网络风险。与此同时,对网络安全越来越熟悉的商界领袖不再希望听到天塌下来的消息。相反,他们希望 CISO 将重点放在增长和盈利上,同时保护企业免受网络攻击。随着勒索软件的激增,CISO 不仅必须预防、检测和补救安全风险,现在还必须考虑系统对可能导致公司破产的网络攻击的恢复能力。 CISO 还必须关注公司从网络事件中恢复的速度。
对于 CISO 来说,好消息是其中许多职位已晋升为真正的 C 级职位。坏消息是,他们的角色主要是顾问角色,其次是领导者认为可接受的风险。考虑到来自美国证券交易委员会 (SEC) 和司法部的越来越大的压力 网络攻击后 CISO 的责任,这个地位很快就变得站不住脚了。
CISO 的下一阶段
如今,要想取得成功,CISO 需要在保持坚实基础的同时培养新技能。以下是如何实现这一点。
-
了解如何与董事会交谈。 CISO 需要成为谈判者。他们需要主张加强安全性,并以他们理解的方式说服董事会和业务部门了解风险。 CISO 的处理方式可能会有所不同,具体取决于董事会成员的经验是技术领域还是业务领域。提供将技术风险置于业务角度的演示可能会有所帮助。 CISO 还应该与其他 C 级高管以及其他行业的 CISO 进行交谈,以提前获得他们与董事会进行的类似对话的支持和不同观点。
-
适应灰色。 CISO 需要乐于开发基于风险的方法,重点关注弹性的重要性,因为攻击者会 制定经过测试的计划来应对攻击与实施预防措施同样重要。永远记住,你无法提供绝对的安全……它需要平衡风险与成本。
-
强调基础。 CISO 应建立一支技术深厚的团队,专注于关键安全实践。他们应该针对系统关闭或无法连接到互联网等情况进行桌面练习。 CISO 不得依赖于如何应对的假设;运行并测试所有响应计划至关重要。
-
对技术要深思熟虑。 如今的安全团队有太多的信息需要费力地浏览。整合数据和投资自动化至关重要。在之前的工作中,我发现我的团队三分之一的时间都花在收集数据和创建报告上。这对任何人的时间都没有很好的利用。自动化可以提供帮助。这也将丰富您团队的职业生涯,让您能够专注于安全而不是管理职能。
新的 CISO 应对新的威胁形势
企业IT格局发生了显着变化 在过去的 40 年里,它变得越来越分散、基于云并成为开展业务的中心。网络威胁形势也是如此,现在人们普遍认为泄露是不可避免的。变化如此之大,今天的 CISO 以与过去几十年相同的方式运作是不现实的。在这个新环境下, CISO 必须重新定义如何平衡网络弹性 和运营需求,与高级领导和董事会互动,并提供团队和技术领导力。
- :具有
- :是
- :不是
- 10
- 11
- 12
- 15%
- 20
- 20 年
- 2023
- 2024
- 40
- 7
- 8
- a
- Able
- 关于
- 绝对
- 可接受
- 完成
- 根据
- 问责制
- 问责
- 行政
- 推进
- advisory
- 再次
- 所有类型
- 还
- 时刻
- an
- 和
- 任何人
- 什么
- 的途径
- 保健
- 争论
- AS
- 方面
- 财富
- 办公室文员:
- 假设
- At
- 攻击
- 自动化和干细胞工程
- 背部
- 背景
- 坏
- 当前余额
- 平衡
- 基于
- BE
- 因为
- 成为
- 成为
- 很
- 作为
- 黑色
- 板
- 违反
- 违规
- 建立
- 商业
- 商业领袖
- 但是
- by
- 被称为
- 来了
- CAN
- 不能
- 能力
- 人才招聘
- 例
- 中央
- 更改
- 变
- 首席
- 首席信息安全官
- 圆
- CISO
- 舒适
- 佣金
- 公司
- 公司
- 开展
- 分享链接
- 考虑
- 考虑
- 考虑
- 考虑
- 巩固
- 对话
- 说服
- 核心
- 公司
- 价格
- 可以
- 法庭
- 创建
- 创造
- 网络
- 网络攻击
- 网络攻击
- 网络安全
- 损坏
- data
- 数据泄露
- 几十年
- 认为
- 深深
- 交付
- 需求
- 线上演示
- 问题类型
- 司法部
- 部门
- 根据
- 检测
- 开发
- 发展
- 不同
- 勤勉
- 发现
- 分散
- 文件
- 做
- 提高的
- 消除
- 丰富
- 企业
- 环境
- 必要
- 活动
- 事件
- 所有的
- 一切
- 交换
- 管理人员
- 预期
- 体验
- 面部彩妆
- 落下
- 赞成
- 脚
- 最后
- 专注焦点
- 聚焦
- 遵循
- 针对
- 前
- 止
- 功能
- 基本原理
- 搜集
- 生成
- 真正
- 得到
- Go
- 理想中
- GOES
- 非常好
- 灰色
- 事业发展
- 发生
- 有
- 有
- 听
- 帮助
- 有帮助
- 创新中心
- How To
- 但是
- HTTPS
- i
- IBM
- ICON
- 主意
- 实施
- 重要性
- 重要
- in
- 无力
- 事件
- 包含
- 合并
- 增加
- 增加
- 日益
- 行业
- 必然
- 信息
- 信息安全
- 微不足道
- 代替
- 相互作用
- 网络
- 成
- 投资
- IT
- 它的
- 工作
- JPG
- 只是
- 司法
- 保持
- 键
- 奠定了
- 景观
- 领导人
- 领导团队
- 离开
- 减
- 让
- Level
- 不再
- 维护
- 主要
- 许多
- 可能..
- 与此同时
- 措施
- 成员
- 可能
- 百万
- 使命
- 搅和
- 现代
- 更多
- 许多
- 必须
- my
- 需求
- 需要
- 工业网络
- 全新
- 消息
- 下页
- 没有
- 现在
- of
- 官
- 经常
- on
- 一旦
- 一
- 三分之一
- 仅由
- 操作
- 操作
- 运营
- or
- 组织
- 组织
- 其他名称
- 输出
- 超过
- 过去
- 透视
- 观点
- 计划
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 政客
- 位置
- 做法
- 压力
- 防止
- 主要
- 优先顺序
- 盈利
- 保护
- 保护
- 保护
- 提供
- 优
- 追求
- 放
- 认沽期权
- 很快
- 勒索
- RE
- 最近
- 承认
- 恢复
- 重新定义
- 减少
- 依靠
- 纪念
- 报告
- 报告2023
- 业务报告
- 弹性
- 弹性
- 解决
- 回应
- 响应
- 收入
- 风险
- 风险
- 角色
- 角色
- 运行
- 运行
- s
- 清酒
- 同
- 保存
- 对工资盗窃
- 情景
- 证券交易委员会
- 次
- 证券
- 美国证券交易委员会
- 保安
- 安全风险
- 看到
- 看到
- 出售
- 前辈
- 转移
- 应该
- 关闭
- 双方
- 类似
- 技能
- 天空
- So
- 一些
- 速度
- 花费
- 阶段
- 留
- 步
- 仍
- 策略
- 强烈
- 强大的基础
- 强
- 成功
- 这样
- 支持
- Switch 开关
- 系统
- 产品
- 谈论
- 团队
- 队
- 科技
- 文案
- 专业技术
- 条款
- 测试
- 测试
- 比
- 这
- 其
- 他们
- 博曼
- 他们
- Free Introduction
- 威胁
- 威胁
- 威胁
- 三
- 通过
- 次
- 至
- 今晚
- 也有
- 理解
- 单位
- 不必要
- 无用
- 使用
- 变化
- 重要
- 涉
- 唤醒
- 想
- 是
- 方法..
- we
- 井
- 为
- 什么是
- ,尤其是
- 是否
- 而
- 白色
- WHO
- 广泛
- 将
- 年
- 但
- 完全
- 您一站式解决方案
- 和风网