新 CISO：重新思考角色

由柏拉图重新发布

关注： 0

公司认识到网络安全的重要性，并越来越多地将其作为一项资产纳入其运营战略中。但通过混合安全和运营，组织可能会削弱首席信息安全官 (CISO) 的核心使命：保护公司资产免受不必要的攻击。

追溯到 1990 世纪 20 年代，CISO 的角色更加注重技术和 IT。安全是黑白分明的，各部门努力消除任何被视为风险的东西。然而，在过去的XNUMX年里，这份工作发生了变化。 CISO 面临着无法解决的更多风险，需要平衡安全与运营能力，并且必须说服领导者投资于保护。

如今，CISO 还需要尊重业务需求，同时仍对违规行为负责。在社交活动中，我看到越来越多具有商业背景的 CISO 较少关注工作的网络方面，而更多地关注支持业务优先事项。

这种转变可能会让公司陷入不稳定的境地。为了速度而放松网络安全尽职调查不仅威胁公司数据的安全，还会带来不必要的风险。这并不是微不足道的。根据 IBM 的“2023 年数据泄露成本报告” 2023 年数据泄露的平均成本为 4.45 万美元，三年内增长了 15%。

2024 年，我们需要再次重新思考 CISO 的角色。当今的 CISO 必须帮助其组织了解，优先考虑降低风险是企业面对现代威胁时保持弹性的关键。

当今的 CISO：坚韧的政治家

CISO 曾经能够基于这样的想法来推销自己的重要性：用网络术语来说，天正在塌下来。但随着公司业务和安全方面的合并，公司责任开始发挥作用。 CISO 的重点从风险规避转向风险态势，并考虑在追求业务目标时可接受的水平。

在许多情况下，产生收入的业务部门现在对可接受的风险水平拥有最终决定权，包括网络风险。与此同时，对网络安全越来越熟悉的商界领袖不再希望听到天塌下来的消息。相反，他们希望 CISO 将重点放在增长和盈利上，同时保护企业免受网络攻击。随着勒索软件的激增，CISO 不仅必须预防、检测和补救安全风险，现在还必须考虑系统对可能导致公司破产的网络攻击的恢复能力。 CISO 还必须关注公司从网络事件中恢复的速度。

对于 CISO 来说，好消息是其中许多职位已晋升为真正的 C 级职位。坏消息是，他们的角色主要是顾问角色，其次是领导者认为可接受的风险。考虑到来自美国证券交易委员会 (SEC) 和司法部的越来越大的压力网络攻击后 CISO 的责任，这个地位很快就变得站不住脚了。

CISO 的下一阶段

如今，要想取得成功，CISO 需要在保持坚实基础的同时培养新技能。以下是如何实现这一点。

了解如何与董事会交谈。 CISO 需要成为谈判者。他们需要主张加强安全性，并以他们理解的方式说服董事会和业务部门了解风险。 CISO 的处理方式可能会有所不同，具体取决于董事会成员的经验是技术领域还是业务领域。提供将技术风险置于业务角度的演示可能会有所帮助。 CISO 还应该与其他 C 级高管以及其他行业的 CISO 进行交谈，以提前获得他们与董事会进行的类似对话的支持和不同观点。
适应灰色。 CISO 需要乐于开发基于风险的方法，重点关注弹性的重要性，因为攻击者会制定经过测试的计划来应对攻击与实施预防措施同样重要。永远记住，你无法提供绝对的安全……它需要平衡风险与成本。
强调基础。 CISO 应建立一支技术深厚的团队，专注于关键安全实践。他们应该针对系统关闭或无法连接到互联网等情况进行桌面练习。 CISO 不得依赖于如何应对的假设；运行并测试所有响应计划至关重要。
对技术要深思熟虑。如今的安全团队有太多的信息需要费力地浏览。整合数据和投资自动化至关重要。在之前的工作中，我发现我的团队三分之一的时间都花在收集数据和创建报告上。这对任何人的时间都没有很好的利用。自动化可以提供帮助。这也将丰富您团队的职业生涯，让您能够专注于安全而不是管理职能。
记录一切。当发生破坏性事件时，责任往往归咎于 CISO。近年来，大公司的 CISO 被解雇，被传唤出庭作证，在某些情况下，带电犯罪。 CISO 应制定网络攻击响应计划，记录每一步，并严格遵循。这样做可能无法保住 CISO 的饭碗，但可以让他们远离法庭。

新的 CISO 应对新的威胁形势

企业IT格局发生了显着变化在过去的 40 年里，它变得越来越分散、基于云并成为开展业务的中心。网络威胁形势也是如此，现在人们普遍认为泄露是不可避免的。变化如此之大，今天的 CISO 以与过去几十年相同的方式运作是不现实的。在这个新环境下， CISO 必须重新定义如何平衡网络弹性和运营需求，与高级领导和董事会互动，并提供团队和技术领导力。