1995年,首席信息安全官(CISO)首次作為C級(jí)高管登上歷史舞臺(tái),自此之后,便開啟了艱難的“上位”之路。
根據(jù)Heidrick & Struggles的數(shù)據(jù)顯示,如今,全球超過(guò)一半的CISO向CIO、CTO、或其他高級(jí)工程管理人員匯報(bào),只有8%直接向CEO匯報(bào)。
但也有跡象表明,隨著網(wǎng)絡(luò)威脅愈發(fā)普遍和嚴(yán)峻,CISO職務(wù)正變得越來(lái)越受重視,并發(fā)揮著更大的領(lǐng)導(dǎo)作用。鑒于復(fù)雜的威脅行為者正以企業(yè)運(yùn)營(yíng)和財(cái)務(wù)利益為目標(biāo),近90%的CISO表示,他們已經(jīng)在董事會(huì)獲得了一定程度的話語(yǔ)權(quán),要么定期向委員會(huì)報(bào)告,要么向整個(gè)董事會(huì)報(bào)告。
NS1公司CISO Ryan Davis總結(jié)道,“歸根結(jié)底,CISO的地位取決于企業(yè)對(duì)安全的重視程度。”
如果一個(gè)公司重視安全,那么CISO往往會(huì)在領(lǐng)導(dǎo)層和整個(gè)公司中獲得更多的重視和話語(yǔ)權(quán)。相反地,如果安全部門的存在只是為了檢查行業(yè)合規(guī)性,那么CISO就會(huì)淪為一個(gè)無(wú)足輕重的角色,缺乏可見性或權(quán)威。
困擾CISO的問(wèn)題
在這種情況下,C級(jí)高管們對(duì)安全問(wèn)題重視不足,一旦出現(xiàn)任何類型的網(wǎng)絡(luò)安全事件,將統(tǒng)統(tǒng)歸咎于CISO。
也難怪大多數(shù)CISO都表示,他們正遭受著與工作相關(guān)的壓力和倦怠。
如今,CISO正面臨著人才短缺和員工保留問(wèn)題,軟件供應(yīng)鏈攻擊帶來(lái)的日益復(fù)雜的網(wǎng)絡(luò)威脅,以及地緣政治緊張格局帶來(lái)的諸多安全挑戰(zhàn)。
ISACA新加坡主席兼OT-ISAC執(zhí)行委員會(huì)主席Steven Sim表示,“讓我夜不能寐的風(fēng)險(xiǎn)是,隨著威脅行為者能力不斷提升,他們可以悄無(wú)聲息地在目標(biāo)網(wǎng)絡(luò)中潛伏很長(zhǎng)一段時(shí)間,并從中竊取機(jī)密數(shù)據(jù)。”
復(fù)雜的威脅行為者也是LinQuest公司CISO Kemal Piskin最擔(dān)憂的問(wèn)題。隨著安全部門開始依賴人工智能等技術(shù)來(lái)幫助檢測(cè)和防止網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)犯罪分子也在利用同樣的技術(shù)發(fā)動(dòng)攻擊和逃避檢測(cè)。
此外,遠(yuǎn)程工作對(duì)CISO來(lái)說(shuō)同樣是福也是禍。根據(jù)ISC進(jìn)行的一項(xiàng)調(diào)查顯示,網(wǎng)絡(luò)安全專業(yè)人士希望居家辦公,這可能會(huì)對(duì)人才短缺問(wèn)題起到積極影響。但網(wǎng)絡(luò)/遠(yuǎn)程工作者對(duì)信息系統(tǒng)管理員無(wú)疑是一項(xiàng)艱巨的挑戰(zhàn)。
在理想的情況下,所有遠(yuǎn)程工作人員都應(yīng)該在網(wǎng)絡(luò)意識(shí)方面受過(guò)良好的教育,并使用零信任框架和其他安全最佳實(shí)踐。但事實(shí)上,家庭網(wǎng)絡(luò)和個(gè)人設(shè)備的真正安全性是未知的。這無(wú)疑增加了網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
Piskin表示,“黑客可以通過(guò)很多入侵嘗試進(jìn)入你的系統(tǒng)。但CISO只有一次機(jī)會(huì)阻止他們。”
提升CISO的角色
許多CISO將其當(dāng)前的角色視為技術(shù)和業(yè)務(wù)的混合體。Piskin解釋稱,“我的大部分時(shí)間并非花在擔(dān)心安全事件上,而是在擔(dān)心如何在安全的情況下運(yùn)行業(yè)務(wù)。”
作為領(lǐng)導(dǎo)團(tuán)隊(duì)的一部分,參與有關(guān)業(yè)務(wù)運(yùn)營(yíng)的對(duì)話是許多CISO希望看到自己的角色繼續(xù)演進(jìn)的方式。
Insight Enterprises副總裁兼CISO Jason Rader表示,“我希望看到跨組織的安全功能被區(qū)別定義。就像公司中的每個(gè)人都對(duì)保持業(yè)務(wù)運(yùn)行負(fù)有一定責(zé)任一樣,CISO也應(yīng)該推進(jìn)類似的安全方法。每個(gè)人都應(yīng)該在確保公司安全方面發(fā)揮著重要作用。一個(gè)人為失誤就可能成為惡意行為者的敲門磚,暴露出可能引發(fā)災(zāi)難性后果的缺陷。因此,每個(gè)人都需要在安全方面扮演一個(gè)角色,體驗(yàn)到自身的責(zé)任感。”
然而,安全問(wèn)題長(zhǎng)期以來(lái)一直處于封閉狀態(tài),想要改變這種心態(tài)不可能一蹴而就。即便在公司中,CISO已經(jīng)身處高度可見性的位置,并且真正成為領(lǐng)導(dǎo)團(tuán)隊(duì)的一部分,擁有充足的話語(yǔ)權(quán),該角色還是要持續(xù)發(fā)展,以幫助公司跟上威脅形勢(shì)。
美國(guó)證券交易委員會(huì)(SEC)和監(jiān)管機(jī)構(gòu)正愈發(fā)重視網(wǎng)絡(luò)安全專業(yè)知識(shí)的重要性,這也將影響CISO角色的變化。
Rader認(rèn)為,“CISO當(dāng)然還有很長(zhǎng)的路要走。一切都不會(huì)一蹴而就,需要不斷的努力和堅(jiān)持。但要相信,努力帶來(lái)的回報(bào)可能是巨大的。”
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
近日,德國(guó)柏林國(guó)際電子消費(fèi)品展覽會(huì)(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計(jì)及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)成功斬獲兩項(xiàng)“IFA全球產(chǎn)品設(shè)計(jì)創(chuàng)新大獎(jiǎng)”金獎(jiǎng),有力證明了其在全球市場(chǎng)的強(qiáng)大影響力。
近日,中國(guó)家電及消費(fèi)電子博覽會(huì)(AWE 2024)隆重開幕。全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無(wú)人區(qū),斬獲四項(xiàng)AWE 2024艾普蘭大獎(jiǎng)。
“以前都要去窗口辦,一套流程下來(lái)都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
由世界人工智能大會(huì)組委會(huì)、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會(huì)共同指導(dǎo),由上海市人工智能行業(yè)協(xié)會(huì)聯(lián)合上海人工智能實(shí)驗(yàn)室、上海臨港經(jīng)濟(jì)發(fā)展(集團(tuán))有限公司、開放原子開源基金會(huì)主辦的“2024全球開發(fā)者先鋒大會(huì)”,將于2024年3月23日至24日舉辦。