首席信息安全官(CISO)职位仍在不断发展和成熟,对于这些变化,或许没有人比Tammy Moskites更有话语权。
Accenture Security公司总经理Moskites花费了大量时间为其他企业及CISO提供有关如何改进信息安全计划和做法的建议。在去年秋天加入Accenture公司前,她曾在Home Depot和时代华纳担任CISO职位长达七年,最近的工作是在Venafi公司兼任CIO和CISO。
在2018年RSA大会的问答环节,她表示:“当我加入Accenture时,我认为与提供产品解决方案相比,更好的做法是为企业提供更大的解决方案。”
在本次采访中,Moskites探讨了她的新职位以及她对CISO职位所面临的变化和挑战的看法。她还讨论了网络安全人才短缺的现状以及她为推动年轻一代从事信息安全工作所付出的努力。下面是采访Moskites的第一部分。
您是否觉得自己像虚拟CISO?
Moskites:我是值得信赖的顾问。在Accenture工作-尤其是在安全领域工作的很棒之处是,因为我不是他们的CISO,但我又是CISO。你永远无法摆脱这一点,你尝试,但你不能,我就有这样的经历。
令人兴奋的是,当我与客户接触时,他们不只是听到顾问告诉他们“噢,你需要这样做”。我曾经坐在房间里,在客户完成交易或者协商交易时听他们说话,我对自己说,“这不适合他们”。
这是需要建立信任的地方。他们知道我的信誉,他们知道我会给他们需要的东西,而且只有他们需要的东西。
您最近从CISO处听到什么信息?他们现在遇到什么困难?例如,在RSA大会有人谈到企业在事件响应方面遇到挑战。
Moskites:事件响应始终是挑战,我认为这是一件成熟的事情。我们总是会遇到很多挑战,无论是勒索软件还是零日漏洞,你不可能为一切做好计划。
当你在规划事件响应计划时,你必须确保你在测试它,并确保你知道与谁联系。你必须始终保持关注。
很多时候人们会说,’我们去年制定了一个事件响应计划,但那个计划中的三个关键人员都已经离职’,那么谁是替补人员呢?
事件响应始终是挑战,而且,试图找人做这项工作也很困难,招聘是另一大挑战。
RSA总裁Rohit Ghai在其主题演讲中表示,出于各种原因,我们很少在媒体上看到有关网络安全方面取得的胜利,信息安全行业总是有很多失败的新闻。这是否会给该行业造成负面影响,或者在某种程度上阻止人们进入这个行业?
Moskites:你会发现这不仅是CISO面临的问题,安全专业人员、律师、医生等都是人们认为具有挑战性的职业。
我认为我们面临人才短缺问题的原因是我们没有让年轻人知道,这实际上是他们会喜欢的东西,也会是让他们充满激情的职业。
我会去和幼儿园园长交谈;我会坐在地板上域小朋友谈论电脑以及坏人、好人,好女孩和坏女孩,以及计算机的重要性。你也可以在成年人使用这些相同的素材。
但这是事实;这真的很有用。我甚至在我曾就读的高中工作,我每年都自己发放奖学金,我让他们写一篇关于为什么想加入网络安全的文章,并且每年都会发表一篇文章。我很开心能与学生们谈论我的职业生涯。
对于CISO职位,你会给学生什么建议?
Moskites:最好的事情是我总是能知道重点所在,我了解这个行业。
CISO不只是技术专家,我们必须了解业务,我们必须知道如何与业务保持一致,并且我们必须确保我们了解合规性和网络灵活性。我认为这是真正发生改变的地方。
现在很多成功的CISO会发现业务支持部分以及真正的业务风险承受能力并理解它们,这很关键。那些不太成功的CISO是那些仍然被认为只会说’不’的人,这是很严重的问题。
显然,CISO的流动率很高,为什么会这样?
Moskites:几周前,我在另一个大会中主持了CISO小组讨论会,我们谈到作为首席安全官最害怕的事情:如果公司遭到攻击,我可能会失去工作,尽管与我没有太大关系,或者没有任何关系,因为有时候是业务部门作出风险决策来部署X、Y和Z。
我只能告诉你的是,作为CISO,这就是你的问题,即使你不能接受这个风险,但你需要接受了这个风险。但最终发生数据泄露事故会让我们失去工作,然后失业。
我们还有参与有关CISO医疗事故保险的讨论。当我们因为我们无法控制的东西而失去一切时,我们如何维持我们的生活?我们应该购买自己的责任保险。这是一个艰苦的生活。
在过去20年里,在我加入Accenture公司之前,我睡觉都要把传呼机、手机或者普通电话放在枕头下面,即使时度假的时候。
事实是,我选择这样做是因为我当时还在学习,而且我每天都在学习。而且,作为CISO,即使当时他们没有这个头衔而在做相关工作,重要的是能够及时作出响应并出现。
技术已经发生巨大改变,我们现在有很多安全自动化和自动编排,这对我们的工作还是有所帮助。
CISO的角色是否需要改变?CISO是否需要更多地关注推动业务运营,还是应该更加控制企业的技术方面?
Moskites:是的,我认为这个角色正在改变。正如我前面所说,我们的角色和职责是需要关注业务重点,这是至关重要的。
我需要了解我的业务范围,但我不能一个人做。你需要强大的安全联络员,与业务保持一致,并定期开会,参加员工会议,了解他们的投资组合,了解正在进行的工作,并将这些信息待会到安全部门。通过这种方式,你可以更好地掌握正在发生的事情,并且与业务部门保持密切关系。
而且,重要的是,他们要变成值得信赖的顾问。这样,我们能够积极合作并确保安全控制措施能够提前部署。
另外,在编程方面,我认为CISO不要向CIO报告。我认为他们完全是同等职位,他们应该像其他业务角色一样协同工作。如果没有让他们协同工作,可能会出现问题,CISO没有得到与高管见面的足够时间。你需要良好的平衡。
一切都会完美吗?当然不会。我们必须更聪明地思考,而且,我们必须始终努力保持领先,并且知道无论我们喜不喜欢,总是会有人走在我们前面。
但对于CISO来说,最重要的事情是他们需要非常了解其关键资产,并能够确保他们至少在保护这些关键资产,然后从那里开始。我们有太多东西接触我们的网络,所以最重要的事情就是保护最关键的东西。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
翻译
相关推荐
-
思科通过收购Duo来增强云安全性
思科宣布以23.5亿美元收购Duo Security公司,此次收购将为该网络公司的云安全产品组合增添了两步身份 […]
-
企业没有从过往网络安全事件中吸取教训
根据Pluralsight作家同时也是安全专家Troy Hunt表示,反复发生的网络安全事件表明企业仍然在基础 […]
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]
-
1.7Tbps DDoS攻击:并不会仅限于此
短短的五天时间内,安全性欠佳的memcached数据库服务器遭受两起破纪录的Tbps DDoS攻击,专家认为这 […]