1995年��,首席信息安全官(CISO)首次作為C級(jí)高管登上歷史舞臺(tái)����,自此之后�����,便開啟了艱難的“上位”之路���。
根據(jù)Heidrick & Struggles的數(shù)據(jù)顯示��,如今�,全球超過(guò)一半的CISO向CIO����、CTO���、或其他高級(jí)工程管理人員匯報(bào),只有8%直接向CEO匯報(bào)���。
但也有跡象表明���,隨著網(wǎng)絡(luò)威脅愈發(fā)普遍和嚴(yán)峻,CISO職務(wù)正變得越來(lái)越受重視����,并發(fā)揮著更大的領(lǐng)導(dǎo)作用��。鑒于復(fù)雜的威脅行為者正以企業(yè)運(yùn)營(yíng)和財(cái)務(wù)利益為目標(biāo)���,近90%的CISO表示��,他們已經(jīng)在董事會(huì)獲得了一定程度的話語(yǔ)權(quán)�����,要么定期向委員會(huì)報(bào)告��,要么向整個(gè)董事會(huì)報(bào)告�。
NS1公司CISO Ryan Davis總結(jié)道,“歸根結(jié)底���,CISO的地位取決于企業(yè)對(duì)安全的重視程度�。”
如果一個(gè)公司重視安全�,那么CISO往往會(huì)在領(lǐng)導(dǎo)層和整個(gè)公司中獲得更多的重視和話語(yǔ)權(quán)。相反地����,如果安全部門的存在只是為了檢查行業(yè)合規(guī)性,那么CISO就會(huì)淪為一個(gè)無(wú)足輕重的角色�����,缺乏可見性或權(quán)威����。
困擾CISO的問(wèn)題
在這種情況下,C級(jí)高管們對(duì)安全問(wèn)題重視不足���,一旦出現(xiàn)任何類型的網(wǎng)絡(luò)安全事件�����,將統(tǒng)統(tǒng)歸咎于CISO�����。
也難怪大多數(shù)CISO都表示��,他們正遭受著與工作相關(guān)的壓力和倦怠��。
如今����,CISO正面臨著人才短缺和員工保留問(wèn)題,軟件供應(yīng)鏈攻擊帶來(lái)的日益復(fù)雜的網(wǎng)絡(luò)威脅���,以及地緣政治緊張格局帶來(lái)的諸多安全挑戰(zhàn)����。
ISACA新加坡主席兼OT-ISAC執(zhí)行委員會(huì)主席Steven Sim表示���,“讓我夜不能寐的風(fēng)險(xiǎn)是,隨著威脅行為者能力不斷提升�����,他們可以悄無(wú)聲息地在目標(biāo)網(wǎng)絡(luò)中潛伏很長(zhǎng)一段時(shí)間�����,并從中竊取機(jī)密數(shù)據(jù)。”
復(fù)雜的威脅行為者也是LinQuest公司CISO Kemal Piskin最擔(dān)憂的問(wèn)題��。隨著安全部門開始依賴人工智能等技術(shù)來(lái)幫助檢測(cè)和防止網(wǎng)絡(luò)攻擊����,網(wǎng)絡(luò)犯罪分子也在利用同樣的技術(shù)發(fā)動(dòng)攻擊和逃避檢測(cè)。
此外,遠(yuǎn)程工作對(duì)CISO來(lái)說(shuō)同樣是福也是禍。根據(jù)ISC進(jìn)行的一項(xiàng)調(diào)查顯示���,網(wǎng)絡(luò)安全專業(yè)人士希望居家辦公,這可能會(huì)對(duì)人才短缺問(wèn)題起到積極影響。但網(wǎng)絡(luò)/遠(yuǎn)程工作者對(duì)信息系統(tǒng)管理員無(wú)疑是一項(xiàng)艱巨的挑戰(zhàn)���。
在理想的情況下,所有遠(yuǎn)程工作人員都應(yīng)該在網(wǎng)絡(luò)意識(shí)方面受過(guò)良好的教育����,并使用零信任框架和其他安全最佳實(shí)踐。但事實(shí)上�,家庭網(wǎng)絡(luò)和個(gè)人設(shè)備的真正安全性是未知的。這無(wú)疑增加了網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)�����。
Piskin表示,“黑客可以通過(guò)很多入侵嘗試進(jìn)入你的系統(tǒng)�。但CISO只有一次機(jī)會(huì)阻止他們。”
提升CISO的角色
許多CISO將其當(dāng)前的角色視為技術(shù)和業(yè)務(wù)的混合體�����。Piskin解釋稱����,“我的大部分時(shí)間并非花在擔(dān)心安全事件上,而是在擔(dān)心如何在安全的情況下運(yùn)行業(yè)務(wù)�����。”
作為領(lǐng)導(dǎo)團(tuán)隊(duì)的一部分�,參與有關(guān)業(yè)務(wù)運(yùn)營(yíng)的對(duì)話是許多CISO希望看到自己的角色繼續(xù)演進(jìn)的方式。
Insight Enterprises副總裁兼CISO Jason Rader表示�����,“我希望看到跨組織的安全功能被區(qū)別定義���。就像公司中的每個(gè)人都對(duì)保持業(yè)務(wù)運(yùn)行負(fù)有一定責(zé)任一樣,CISO也應(yīng)該推進(jìn)類似的安全方法����。每個(gè)人都應(yīng)該在確保公司安全方面發(fā)揮著重要作用����。一個(gè)人為失誤就可能成為惡意行為者的敲門磚�,暴露出可能引發(fā)災(zāi)難性后果的缺陷。因此�,每個(gè)人都需要在安全方面扮演一個(gè)角色,體驗(yàn)到自身的責(zé)任感�。”
然而,安全問(wèn)題長(zhǎng)期以來(lái)一直處于封閉狀態(tài)����,想要改變這種心態(tài)不可能一蹴而就。即便在公司中��,CISO已經(jīng)身處高度可見性的位置�����,并且真正成為領(lǐng)導(dǎo)團(tuán)隊(duì)的一部分����,擁有充足的話語(yǔ)權(quán),該角色還是要持續(xù)發(fā)展�,以幫助公司跟上威脅形勢(shì)���。
美國(guó)證券交易委員會(huì)(SEC)和監(jiān)管機(jī)構(gòu)正愈發(fā)重視網(wǎng)絡(luò)安全專業(yè)知識(shí)的重要性,這也將影響CISO角色的變化�。
Rader認(rèn)為,“CISO當(dāng)然還有很長(zhǎng)的路要走���。一切都不會(huì)一蹴而就�,需要不斷的努力和堅(jiān)持�。但要相信,努力帶來(lái)的回報(bào)可能是巨大的�。”
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議�,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作�����,風(fēng)險(xiǎn)自擔(dān)�����。
京公網(wǎng)安備 11010502041587號(hào)