[[441908]]

1.首席信息安全官角色的基本要素是什么?

每個人對首席信息安全官(CISO)這個職位都有著不同的看法，但人們通常談?wù)摰氖潜O(jiān)督企業(yè)安全計(jì)劃的管理人員。最初的看法是，首席信息安全官專注于使用安全技術(shù)阻止對企業(yè)的違規(guī)行為，盡管這是其工作的一部分，但首席信息安全官的作用遠(yuǎn)不止于此。

首席信息安全官的角色根據(jù)企業(yè)的情況而有所不同，具體取決于他們的需求。其工作范圍可能包括安全治理和合規(guī)性、隱私、產(chǎn)品安全，甚至物理安全。但在尋求功能之間的協(xié)同作用時，物理安全經(jīng)常被人忽視。

網(wǎng)絡(luò)安全和物理安全都具有共同的主題，并且都受益于高水平的態(tài)勢感知。對數(shù)字信息的威脅通常類似于對個人或設(shè)施的威脅，而物理安全事件也可以迅速演變?yōu)樾畔踩录?。這就是首席信息安全官和更廣泛的企業(yè)促進(jìn)物理和網(wǎng)絡(luò)安全實(shí)踐之間的聯(lián)系至關(guān)重要的原因。

除了在不同的安全領(lǐng)域擁有足夠的技術(shù)和知識之外，首席信息安全官還負(fù)責(zé)彌合技術(shù)與人員之間的差距。幫助非技術(shù)業(yè)務(wù)領(lǐng)導(dǎo)者了解應(yīng)該做出復(fù)雜技術(shù)決策的原因，可以使這些領(lǐng)導(dǎo)者成為安全的擁護(hù)者。

2.成為成功的首席信息安全官所需的主要能力是什么?

對任何首席信息安全官或安全領(lǐng)導(dǎo)者來說，必不可少的兩種能力是親和力和適應(yīng)性。從本質(zhì)上來說，安全專業(yè)人員需要能夠與他人密切協(xié)作并適應(yīng)變化。

如果將首席信息安全官的職責(zé)分解到其基本層面，它是一種基于說服的職能，并依賴于強(qiáng)大的協(xié)作技能。首席信息安全官的工作是召集各級利益相關(guān)者(企業(yè)董事會成員、高管領(lǐng)導(dǎo)層和所有員工)成為安全倡導(dǎo)者和從業(yè)者。首席信息安全官還應(yīng)該阻止違規(guī)行為，雖然這是他們的目標(biāo)，但如果企業(yè)的每個人都不盡自己的一份力量，那么他們就無法做到這一點(diǎn)。這可能意味著改變對企業(yè)構(gòu)成安全風(fēng)險的根深蒂固的行為，這需要時間、同理心以及對共同目標(biāo)的強(qiáng)烈認(rèn)同。安全團(tuán)隊(duì)可能會部署其想要的所有工具和流程，但如果員工沒有正確地做事的話，這些目標(biāo)都難以實(shí)現(xiàn)。

作為這一角色的一部分，首席信息安全官面臨著一項(xiàng)艱巨的任務(wù)，即說服企業(yè)的每個利益相關(guān)者以統(tǒng)一積極的態(tài)度對網(wǎng)絡(luò)安全進(jìn)行投資——無論是在財(cái)務(wù)上還是在個人方面。首席信息安全官必須找到一種方式，以顯示對業(yè)務(wù)進(jìn)行支持的方式傳達(dá)其優(yōu)先事項(xiàng)。

協(xié)作是任何一個安全實(shí)踐成功的關(guān)鍵因素，因此建立一個具有各種不同技能、相互補(bǔ)充的安全團(tuán)隊(duì)將極大地增強(qiáng)業(yè)務(wù)活力。首席信息安全官不必?fù)碛杏?jì)算機(jī)科學(xué)學(xué)位，也不必?fù)碛胸S富的以技術(shù)為中心的職業(yè)道路。重要的是，他們需要與業(yè)務(wù)合作伙伴產(chǎn)生共鳴，并找到一條正確前進(jìn)的道路，通過保護(hù)企業(yè)的信息資產(chǎn)幫助他們?nèi)〉贸晒Α?/p>

3.人為因素與技術(shù)要求的契合度如何?

不言而喻，人員是安全計(jì)劃獲得成功的基礎(chǔ)，人為因素是首席信息安全官在安全方面應(yīng)該關(guān)注的重點(diǎn)。技術(shù)在安全領(lǐng)域當(dāng)然很重要，但隨著新的威脅和對策在網(wǎng)絡(luò)安全方面的不斷斗爭，技術(shù)也在不斷變化和發(fā)展。

首席信息安全官還需要花費(fèi)時間向他們的利益相關(guān)者宣傳這些對策。零信任就是一個很好的例子。雖然聽起來很新穎且具有創(chuàng)新性，但這個概念已經(jīng)存在了幾十年——這不是魔術(shù)，而只是安全常識。但是，盡管零信任對安全從業(yè)者來說聽起來很酷，但最終用戶可能有不同的看法。研究發(fā)現(xiàn)，32%的企業(yè)安全領(lǐng)導(dǎo)者表示，如果實(shí)施零信任策略，擔(dān)心員工會認(rèn)為企業(yè)不信任他們。他們認(rèn)為，首席信息安全官應(yīng)該認(rèn)識到何時以及如何管理這樣的觀念以充分利用他們的技術(shù)戰(zhàn)略。

4.對首席信息安全官有何建議?

有人說，“對于一名首席信息安全官來說，如果沒有人對他大喊大叫，那么他可能沒有做好自己的工作。”盡管這聽起來很極端，但它是真實(shí)的。他們的工作是進(jìn)行變革，這并不總是一個簡單的過程，并且可能會在這一過程中會惹惱一些人。但為了提高企業(yè)的最佳安全性，首席信息安全官必須表明立場，讓員工走出他們的舒適區(qū)。

雖然首席信息安全官在遭遇網(wǎng)絡(luò)攻擊事件之后可能成為替罪羊，但人們?nèi)匀黄谕紫畔踩倌軌蚍乐惯`規(guī)行為，但在出現(xiàn)問題時可能會指責(zé)他們。為此建議安全專業(yè)人士不要將這樣的情況視為個人行為——數(shù)據(jù)泄露是不可避免的，實(shí)際上可以為所有相關(guān)人員提供寶貴的經(jīng)驗(yàn)和教訓(xùn)。在現(xiàn)代企業(yè)中有如此多的活動，首席信息安全官不可能每次都能成功阻止網(wǎng)絡(luò)攻擊事件。與其相反，應(yīng)該將關(guān)注重點(diǎn)放在從這些事件中吸取教訓(xùn)，并進(jìn)行調(diào)整以防止下一次網(wǎng)絡(luò)攻擊;他們還應(yīng)該了解這些事件可能對其團(tuán)隊(duì)成員造成的影響，并討論對于安全事件反應(yīng)的心理和情緒，以及如何在行動中保持樂觀。

最后，首席信息安全官改變安全態(tài)度的使命只有在企業(yè)其他成員愿意傾聽的情況下才能成功。雖然教育和說服是安全團(tuán)隊(duì)的工作，但重要的是其他人也要參與進(jìn)來。在企業(yè)內(nèi)部開展協(xié)作是構(gòu)建防御和抵御網(wǎng)絡(luò)攻擊和安全威脅的最佳方式。