你在跨职能方面的经验是什么?你花多少时间与业务部门探讨安全问题或者让你的团队嵌入其他团队?成功的安全部门有时候是顾问和教育工作者,其他时候则是守护者。
我的大部分工作都是全球性的,IT也很分布化。在每种情况下,我都有员工在国外为我工作,有时候他们也报告给区域业务部门。
我们花了很多时间来教育关键利益相关者,以及提高整体员工的意识。我曾告诉IT部门的1000个人,我认为他们是团队的一部分。我的团队需要理解和支持其他人,这对于其他人也同样重要,包括员工和顾问,他们应该了解保护企业信息的重要性。
你知道,当员工知道你是谁时,信息安全项目才可以进展,他们在遇到问题时会打电话给你。这又回到了“无指责的游戏”。作为一名CISO,我宁愿早些知道潜在问题的存在,这样我可以及时解决问题。我告诉人们,‘总有一些小火在燃烧,只是不要让它们烧毁建筑物了。’
你花了多久才进入角色?我总是觉得,随着企业规模的扩大,我们需要花更久的时间来了解正在发生什么——我是个控制狂!你在使用任何特定的方法吗?对于你来说,这是一个程序,还是总是有不同?
在我最开始的前90天工作中,我的一位经理给了我一个礼物:他给了我一本书,教我如何开始我的工作。这本书建议(经理)提出三个问题:什么正在运行?什么需要改进?以及哪里我没有出错?我惊喜地发现这非常管用,这让我能够快速发现信息安全程序成功的区域,以及需要对人员、流程和技术进行调整的区域。
我告诉我的团队,‘完美是成功的大敌’。在我的办公室有一个牌子,上面写着,因为我不知道发生了什么事情,于是我笑了。当你不知道所有答案的时候能够笑,并承认你不知道,这对职业寿命和个人寿命都很重要。顺便说一句,我不知道你是控制狂!
对于‘控制狂’,我的意思是,我必须很清楚事情的发展,否则我会很不舒服。这是很困难的事情,因为我认为这潜在地限制了我能有效工作的范围。当我看着你从事过的职位,让我感到昏乱。从你的职位,你怎么知道在不同层面发生的事情?我的态度是‘信任,但要核查’,并且,在核查部分,我总是缺乏足够的带宽,你如何平衡这一点?
这又回到了管理风险的话题。我并不会使用安全这个词,除非我在谈论我160磅的狗。这也是为什么你需要有一个非常社会化且获得高层支持的战略的原因。我们需要付出很多来获得成功。我也认为,对于扩展信息安全,你需要人员、流程和技术。我很担心过于人工且需要有人花数小时查看细微内容的整治计划。并不是反复说到这一点,但这方面确实会出问题。对于信息安全,我们面对不同水平的问题,你需要专注于对企业很重要的事情。
是否有想要重新来过或第二次机会?
前车之鉴很美好,这个问题的答案是肯定的。首先,我会在我的职业生涯的更早期聘请更多的高校毕业生、退伍人员和实习生,因为他们会给团队带来新视角和信誉。我可以告诉你,从事社交媒体项目的20多岁的年轻人更愿意听到我20多岁员工的信息安全言论,而不是从我这里。其次,我会更多地向系统管理员和员工(出于他们报告可疑活动的工作),还有我的团队、顾问和同行说声“谢谢”。我会利用所有公司提供的机制来认识人员,但这确实需要付出很多,而且你需要庆祝成功,你还需要有指标来展示成功。
最后想说些什么?
作为CISO,重要的是要非常清楚信息安全的发展状况。昨日应有的注意可能恰恰就是明日的疏忽。
我建议信息安全从业人员看看T.J. Hooper案件的裁决,该案件涉及在20世纪30年代,被拖船拖走的两艘驳船在风暴中沉没。驳船所有者起诉这个过失问题,并指出拖船没有正常的天气传送无线电。拖船所有者反驳说,天气传送无线电并不是行业标准。
法官Learned Hand在60 F.2d737(1932年第二巡回法院)裁决,该拖船所有者应承担责任:法院最后必须说公道话;预防措施非常有必要,即使是他们的普遍漠视也不能成为疏忽的借口。
换句话说,如果有一个做法是合理的,但不是普遍的‘习惯’做法,这仍然应该作为标准的量度。只做最少的必要的事情或仅仅遵循法规是不够的。云计算、物联网和移动正在改变一切,我们需要作为一个社区,与我们的供应商(包括新型技术公司)一起开发使我们能够支持企业向前发展的产品和解决方案。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
Delta航空公司Deborah Wheeler:从数据泄漏事故中学习经验
从Word到航空公司:Deborah Wheeler在2月份接受了新的挑战,担任Delta航空公司首席信息安全官。新工作状态如何?旅游业
-
CISO:你真的了解你的企业安全架构吗?
关注安全装备是实现透明性的首要一步。这些问题包括:在针对每种安全风险时,企业安全架构中的产品如何有效地完成任务?每种产品或服务的准确率如何? 这些产品真正地满足企业的安全合规需求吗……
-
风口上的AI:CISO需在炒作潮中保持清醒
现如今,越来越多的组织机构开始推广机器学习和人工智能技术,对于CISO们来说,需要在炒作风潮中保持清醒。
-
数据泄露事故诉讼:庭外和解怎么样?
近几年,很多主要数据泄露事故最终会面临集体诉讼,而几乎在所有情况下,这些诉讼最终结果是企业与原告达成庭外和解。作为首席信息安全官,你是否认为庭外和解是最好的办法?