作为首席信息官,你为支持网络安全所做的努力至关重要。
由于对技术的广泛依赖、远程工作呈指数级增长、现代网络的复杂性以及高级威胁的扩散,组织安全性比以往任何时候都更具挑战性。这也意味着,在确保安全性方面,企业面临着更大压力。
当整体业务弹性属于你作为首席信息官的领域时,管理所有必要的任务以创建强大的网络安全似乎是不可能完成的任务。如果你身边没有所有合适的人员,这些挑战尤其明显。
作为企业的 IT 领导者,你不希望过度承诺或作出保证一切安全。但是,你需要解决企业如何提高安全性以及检查和平衡系统的问题,以确保你正在采取必要的措施,以最大程度地减少安全事件的影响。
这里的复杂的因素是,与大多数首席信息官一样,你的角色可能并不简单,尤其是在涉及安全监督时。
为什么在网络安全中首席信息官的作用如此复杂
现在的首席信息官可以迎接新的机会,但他们也面临着各种新挑战。有些挑战是技术性;有些挑战是运营方面。但很多挑战(可以说是大多数)都与人和政策有关,而这些挑战并不是那么容易解决。
很多时候,首席信息官必须解决每一个IT举措。但是,一次尝试太多复杂项目可能会分散注意力,从而使安全措施失效。虽然安全要求通常是项目讨论的一部分,但很少建立真正的弹性。只是因为没有足够的资源来使这一切顺利进行。
对于加强安全性,进一步加剧挑战的是,首席信息官必须执行一种很少有人理解或欣赏的独特平衡行为。与其他涉及安全的高管(例如CISO 或首席风险官)相比,CIO 必须让 IT 工作,同时也让安全工作。
而IT 和安全性可能不一致。
例如,CISO 具有关键待办事项,例如实施新的补丁管理系统或新的安全事件和事件管理系统。首席信息安全官可以只专注于提高安全性。
但是,当首席信息官有关键的待办事项时,例如升级ERP系统或部署面向客户的新应用程序,他们必须在特定的业务需求与技术和安全要求之间取得平衡。这些变量会使整体工作变得更加复杂。
我亲眼看到首席执行官和其他商业领导者并不完全理解首席信息官所面对的是什么。他们需要理解并欣赏首席信息官为使IT既实用又安全所做的努力。这种缺乏同理心会很快演变成更严重的事情。例如,首席信息官可能无法获得财务和政策支持,以确保适当的安全控制和监督。
创建一个集成的、运作良好且安全的企业技术生态系统需要解决技术问题,并培养软技能。如果首席信息官所要做的只是解决技术问题,那么他们的压力最小,安全性最高。然而,同时平衡人员和业务因素有时候会改变这种情况。围绕首席信息官在公司中的角色的很多误解来自沟通不畅和缺乏牢固的关系。只要CIO与CISO的关系不佳,或者其他业务主管和利益相关者的安全支持和愿景不足,我们就能看到这个问题的发生。
首席信息官的企业网络安全职责
运行良好的 IT 环境和灵活安全计划最关键的方面之一是确保首席信息官和首席信息安全官都了解最高领导层对他们的安全期望。以下是 CIO 安全职责方面的监督示例:
- 安装并监督内部技术控制所需的适当技术。 这项职责需要设计、实施和持续支持,以帮助现有的安全政策和程序以及其他潜在的机会领域。
- 在安全或企业风险管理委员会任职。 此职责要求提供 IT 基础结构和与业务相关的见解,以了解安全和合规性团队识别的风险,以及当前和未来的 IT 计划如何帮助支持持续的安全要求。
- 协助事件响应工作。此事件响应职责涉及与安全和法律团队密切合作,以适当响应安全事件并从中恢复。
- 确保企业始终嵌入安全控制。 这项职责需要了解已知和潜在的风险,并加强与其他高管的关系,以弥合业务和安全之间的差距。
- 监控供应商的适当网络安全控制。 这项职责要求接收和审查现有和未来与IT相关的供应商的安全调查问卷或类似的供应商管理工作。
这些潜在的职责是示例,因为首席信息官与首席信息安全官的职权范围取决于企业的具体需求。在上述部分或全部工作中,首席信息官和首席信息安全官之间可能存在重叠。分工取决于为公司发展方向、人才储备情况和一般偏好。
重要的是:首席信息官和首席信息安全官必须建立合作伙伴关系,讨论每个角色的范围并记录期望。
首席信息官的关系是网络安全的关键
如果你是一名首席信息官,你需要负责最大限度地提高安全成果,同时确保项目得到实施,一切“正常”,请专注于加强与那些可以帮助你的人的工作关系。那可能是首席信息安全官,也可以是首席运营官、首席财务官或企业风险管理团队的其他成员,例如首席法律顾问。
安全性是关于长期获得和维持支持,对于那些需要帮助理解安全的人来说,这是关键。
作为寻求获得安全支持并帮助履行职责的首席信息官,应分担与安全威胁和漏洞相关的有形业务风险。无论这些问题是技术问题还是操作问题,都要具体说明它们如何给企业带来风险。
接下来,提出针对每种风险的潜在应对措施,并征求高管同行的反馈,了解什么对他们最有意义。避免用太多细节让他们超负荷,因为你认为这是他们想听到的。请记住,每个人都有特定于其角色的优先事项和挑战。你的优先事项肯定不会是他们的。
相反,询问他们需要什么才能做出明智的决定。就是这样,问问他们。你会进行一些良好的交谈,并可能从谈话中获得一些好主意。
对于很多 IT 专业人员来说,沟通可能是一项艰巨的任务。但是,示弱和向他人寻求帮助是培养牢固关系、产生新想法和解决重大业务问题的最佳方法。此外,在 IT 之外工作的人员通常可以为技术挑战带来全新的视角。
很多人认为信息安全(infosec)和网络安全是IT需要解决的问题,但安全应该是跨部门的集体努力。与财务、运营和人力资源类似,信息安全几乎涉及业务的各个方面。你可能听说过,CIO 必须在比创建问题时更高的级别解决问题。这就是任务。
专注于沟通和培养关系,以便其他人可以帮助你(首席信息官)解决这些业务挑战。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。
翻译
相关推荐
-
10款API安全测试工具帮助降低风险
API是现代应用程序架构的核心。然而,由于其重要性以及提供数据和资源访问的能力,它们经常成为攻击者的目标。 A […]
-
如何防止DDoS攻击
分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]
-
API安全成熟度模型用于评估API安全态势
随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]
-
CrowdStrike:内容验证漏洞导致全球中断
CrowdStrike周三表示,该网络安全供应商内容验证系统中的漏洞是导致上周五全球中断的的原因。 上周五,C […]