CISO發(fā)現(xiàn)自己正處于一個(gè)充滿挑戰(zhàn)的雷區(qū)，從預(yù)算緊張限制資源到文化障礙，無(wú)所不包。以下是他們?nèi)绾巫詈玫貞?yīng)對(duì)這些挑戰(zhàn)的方法。

在過(guò)去十年中，每位CISO都知道自己在董事會(huì)會(huì)議室里會(huì)面臨什么問(wèn)題：我們能否在下一次網(wǎng)絡(luò)攻擊中幸存下來(lái)?如今，隨著動(dòng)蕩的2024年即將結(jié)束，擔(dān)憂加倍了，Kinly公司的CISO唐·吉布森表示。董事會(huì)成員經(jīng)常問(wèn)：我們能在這場(chǎng)經(jīng)濟(jì)風(fēng)暴中幸存下來(lái)嗎?或者，我們?yōu)榈鼐壵物L(fēng)暴做好準(zhǔn)備了嗎?

全球沖突加劇、經(jīng)濟(jì)不穩(wěn)定以及新法規(guī)激增，給CISO及其企業(yè)帶來(lái)了壓力。如今，CISO必須管理一系列問(wèn)題，而往往可用的資源有限。

Foundry最近的一項(xiàng)調(diào)查顯示，預(yù)算緊張、優(yōu)先級(jí)沖突以及持續(xù)吸引和留住技能型人才的斗爭(zhēng)，是CISO在企業(yè)安全工作努力中面臨的障礙。其他挑戰(zhàn)還包括員工意識(shí)和培訓(xùn)不足，以及企業(yè)和文化障礙，所有這些都可能阻礙他們有效開(kāi)展工作。

雖然用更少的資源做更多的事情一直是工作的一部分，但今天的壓力要求我們重新思考。

“調(diào)整你的期望，”吉布森說(shuō)，“總有選擇的余地?！?/p>

充分利用每一分錢(qián)

從整個(gè)企業(yè)的角度來(lái)看，網(wǎng)絡(luò)安全通常優(yōu)先級(jí)較低，因?yàn)樗恢苯赢a(chǎn)生收入。SafeBreach公司的CISO阿維沙伊·阿維維將其比作保險(xiǎn)：“你寧愿不付錢(qián)，但當(dāng)你需要它并且擁有它時(shí)，你會(huì)很高興?！?/p>

資源有限，威脅清單卻不斷增長(zhǎng)，CISO們往往要同時(shí)管理多個(gè)項(xiàng)目。其中一些項(xiàng)目可能會(huì)逐步推進(jìn)，但如果沒(méi)有明確的里程碑或可衡量的進(jìn)展，就很難展示它們的實(shí)際影響。這使得CISO更難獲得額外的資金或支持，尤其是當(dāng)利益相關(guān)者看不到堅(jiān)實(shí)、有形的結(jié)果時(shí)。

“這幾乎不可能展示出有意義的成功，”P(pán)hosphorus公司的CSO約翰·特里爾說(shuō)，“很多時(shí)候，這就像試圖煮沸大海。”

許多CISO建議學(xué)會(huì)“用商業(yè)語(yǔ)言交流”，并偶爾讓董事會(huì)感到害怕以獲得更多資金，但這些方法的作用有限。“公司的資源是有限的，你必須接受這一點(diǎn)，”阿維維說(shuō)。

在這種情況下，CISO必須戰(zhàn)略性地考慮首先要解決哪些風(fēng)險(xiǎn)。關(guān)鍵是要弄清楚哪些需要緊急關(guān)注，哪些可以暫時(shí)保持不變。

自動(dòng)化工具也可以大有幫助，尤其是對(duì)于無(wú)法負(fù)擔(dān)大型、專職安全、合規(guī)和數(shù)據(jù)隱私團(tuán)隊(duì)的小型公司而言?！捌髽I(yè)必須實(shí)施并利用自動(dòng)化的治理、風(fēng)險(xiǎn)和合規(guī)(GRC)解決方案，以幫助整合風(fēng)險(xiǎn)、合規(guī)監(jiān)控、漏洞監(jiān)控和入侵檢測(cè)，”Rhymetec公司的CISO梅廷·科塔克說(shuō)。

平衡優(yōu)先級(jí)

當(dāng)面臨一長(zhǎng)串優(yōu)先級(jí)但只有有限資源時(shí)，創(chuàng)建一套明確的風(fēng)險(xiǎn)偏好聲明可能改變游戲規(guī)則。它有助于定義企業(yè)愿意接受的風(fēng)險(xiǎn)水平，從而更容易決定在哪里投入精力和資源。

“使員工和企業(yè)領(lǐng)導(dǎo)層在風(fēng)險(xiǎn)偏好上保持一致，對(duì)于將你的精力和資金集中在最需要的地方非常有幫助，”Secureworks公司的CISO肯·戴茨說(shuō)，“如果企業(yè)有明確的安全風(fēng)險(xiǎn)偏好，那么優(yōu)先級(jí)就會(huì)一目了然?！?/p>

CISO應(yīng)該公開(kāi)如果優(yōu)先級(jí)得不到解決，企業(yè)將面臨的風(fēng)險(xiǎn)?！斑@種陳述需要用與業(yè)務(wù)相關(guān)的術(shù)語(yǔ)來(lái)表達(dá)，”阿維維說(shuō)，“僅僅告訴首席執(zhí)行官和董事會(huì)我們必須通過(guò)SOC 2 Type II審計(jì)，并不如告訴他們我們的客戶要求任何新銷售都必須有干凈的SOC 2 Type II認(rèn)證那么有分量?！?/p>

吉布森也支持這種方法?！澳銚碛凶约旱牟呗裕阅銢Q定優(yōu)先級(jí)。如果董事會(huì)希望你改變它們，那么他們可以承擔(dān)風(fēng)險(xiǎn)，并向你解釋為什么這更重要。”

在整個(gè)企業(yè)建立安全文化

有些優(yōu)先級(jí)可能有待商榷，但有一件事是不可協(xié)商的：在整個(gè)企業(yè)建立強(qiáng)大的安全文化。出于好意但僅僅出于好奇或想幫忙的員工可能會(huì)點(diǎn)擊釣魚(yú)鏈接或錯(cuò)誤處理敏感信息，從而為威脅打開(kāi)大門(mén)。

為了解決這個(gè)問(wèn)題，主動(dòng)培訓(xùn)至關(guān)重要?！捌髽I(yè)需要投資于最新的網(wǎng)絡(luò)安全培訓(xùn)，并使用AI和機(jī)器學(xué)習(xí)來(lái)模擬實(shí)時(shí)網(wǎng)絡(luò)攻擊，”科塔克說(shuō)，“員工必須獲得應(yīng)對(duì)威脅的實(shí)踐經(jīng)驗(yàn)，以確保他們理解理論概念，并能在真實(shí)場(chǎng)景中應(yīng)用實(shí)用技能?！?/p>

同時(shí)，保持安全應(yīng)該是簡(jiǎn)單直接的——它應(yīng)該感覺(jué)像是做生意的自然組成部分。“我試圖以這樣一種哲學(xué)來(lái)領(lǐng)導(dǎo)：做正確的事應(yīng)該是容易的，”戴茨說(shuō)，“如果遵守企業(yè)的安全流程很復(fù)雜且難以理解，那么你永遠(yuǎn)不會(huì)成功。”

例如，實(shí)施基于FIDO2的無(wú)密碼身份驗(yàn)證系統(tǒng)將使企業(yè)更安全，并降低員工的復(fù)雜性，同時(shí)消除了記住獨(dú)特復(fù)雜密碼的要求，戴茨說(shuō)。

安全培訓(xùn)應(yīng)該包括每個(gè)人，即使是技術(shù)崗位的人員——特別是在IT對(duì)業(yè)務(wù)至關(guān)重要的公司中?！癐T工程師被培訓(xùn)成交付功能性產(chǎn)品——一個(gè)應(yīng)用程序、一個(gè)網(wǎng)絡(luò)等——而不是安全的產(chǎn)品，”BforeAI公司的CSO德米特里·奇赫洛說(shuō)，“CISO如果不能全面地解決這個(gè)問(wèn)題，就有可能在他們的第一道防線內(nèi)創(chuàng)建一個(gè)脆弱的人力層?！?/p>

克服企業(yè)和文化障礙

當(dāng)企業(yè)和文化障礙發(fā)揮作用時(shí)，CISO的工作可能會(huì)變得具有挑戰(zhàn)性。例如，當(dāng)安全團(tuán)隊(duì)由于無(wú)法控制的因素而無(wú)法發(fā)揮最佳表現(xiàn)時(shí)，他們可能會(huì)感到沮喪或氣餒。而其他團(tuán)隊(duì)往往需要了解為什么支持那些不會(huì)立即產(chǎn)生結(jié)果的網(wǎng)絡(luò)安全相關(guān)項(xiàng)目很重要。

為了解決這個(gè)問(wèn)題，阿維維調(diào)整了自己的信息傳達(dá)方式，旨在以真正引起每個(gè)團(tuán)隊(duì)共鳴的方式與他們溝通。“例如，開(kāi)發(fā)人員會(huì)坦率地承認(rèn)，主動(dòng)并按照自己的節(jié)奏修復(fù)安全漏洞要比等到漏洞變成必須放下一切去修復(fù)的違規(guī)行為，讓客戶對(duì)著他們大吼大叫容易得多，”他說(shuō)，“作為CISO，你必須了解他們的需求和背景，以及你的計(jì)劃如何影響他們?！?/p>

許多企業(yè)和文化障礙可以通過(guò)溝通和協(xié)作來(lái)克服?！霸谂c同事領(lǐng)導(dǎo)管理關(guān)系和建立信任上花費(fèi)時(shí)間和精力，絕不是浪費(fèi)精力，”戴茨說(shuō)。

贏得人才競(jìng)爭(zhēng)

由于人才缺口仍然影響著網(wǎng)絡(luò)安全領(lǐng)域，CISO必須在建設(shè)和保持一支技能型團(tuán)隊(duì)方面保持聰明。通常，網(wǎng)絡(luò)安全專家比開(kāi)發(fā)人員更難替換，而且這個(gè)過(guò)程需要時(shí)間和金錢(qián)。

“對(duì)于一些像工程這樣的職位，員工可以并且經(jīng)常從第一天就開(kāi)始工作，”科塔克說(shuō)，“當(dāng)聘請(qǐng)新的網(wǎng)絡(luò)安全員工時(shí)，他們必須了解公司的歷史知識(shí)，并接受培訓(xùn)，學(xué)習(xí)前任制定的過(guò)往框架和安全政策?！?/p>

在招聘時(shí)，戴茨建議企業(yè)優(yōu)先考慮熱情和職業(yè)道德，而不是技術(shù)知識(shí)和經(jīng)驗(yàn)?！邦I(lǐng)導(dǎo)者應(yīng)該考慮培訓(xùn)人員來(lái)做這項(xiàng)工作，這比支付市場(chǎng)上最有經(jīng)驗(yàn)的候選人更有投資價(jià)值，”他說(shuō)，“最好的安全表現(xiàn)者幾乎總是你從一開(kāi)始就培訓(xùn)的那個(gè)人。”

如果員工感覺(jué)有機(jī)會(huì)成長(zhǎng)，他們往往更愿意留在公司。這就是為什么為他們?cè)O(shè)定目標(biāo)并“提供晉升機(jī)會(huì)”很關(guān)鍵，特里爾說(shuō)。管理他們的工作量也是如此。正如Radware公司的CISO霍華德·泰勒所說(shuō)，“在沒(méi)有能力增加更多員工和工具的情況下，CISO和安全團(tuán)隊(duì)的工作量繼續(xù)呈指數(shù)級(jí)增長(zhǎng)，增加了倦怠的風(fēng)險(xiǎn)?！?/p>

為了防止這種情況，CISO應(yīng)該照顧好他們的團(tuán)隊(duì)，并允許他們不時(shí)地休息一下。這正是吉布森在一個(gè)月壞天氣后的一個(gè)晴天所做的?！拔野阉麄冋偌饋?lái)開(kāi)緊急會(huì)議，告訴他們離開(kāi)機(jī)器，出去一個(gè)小時(shí)。感受陽(yáng)光。呼吸新鮮空氣，”他說(shuō)，“他們至今仍在談?wù)撨@件事?！?/p>

法規(guī)、AI、民族國(guó)家破壞CISO的計(jì)劃

CISO還需要處理其他一些問(wèn)題。其中之一與快速演變的監(jiān)管要求有關(guān)。“全球各地的監(jiān)管機(jī)構(gòu)都開(kāi)始對(duì)他們希望在企業(yè)內(nèi)部看到的安全計(jì)劃施加更多控制，因此，監(jiān)管合規(guī)被高度優(yōu)先考慮，”戴茨說(shuō)。

AI也在改變游戲規(guī)則。據(jù)阿維維稱，在沒(méi)有完全理解所有影響的情況下，人們正爭(zhēng)相在多個(gè)層面擁抱AI技術(shù)?！芭c之相關(guān)的是整個(gè)深度偽造的話題，這放大了惡意行為者成功對(duì)你最脆弱的資產(chǎn)——你的員工——執(zhí)行社會(huì)攻擊的能力?！?/p>

特里爾還擔(dān)心由國(guó)家贊助的攻擊?！斑@開(kāi)始改變很多優(yōu)先級(jí)，讓我們開(kāi)始關(guān)注零信任、微細(xì)分、OT/IoT防御以及其他被認(rèn)為更先進(jìn)的策略，”他說(shuō)，“這是在許多行業(yè)團(tuán)體反對(duì)CISA在CIRCIA中的報(bào)告要求的背景下發(fā)生的。因此，雖然有提高安全的愿望，但不太愿意報(bào)告事件?！?/p>

鑒于所有這些壓力，吉布森建議CISO記住他們也是人，應(yīng)該試著照顧好自己?！坝涀。愕墓ぷ鞑⒉粣?ài)你，”他說(shuō)，“像我一樣熱愛(ài)你的工作是可以的，但如果你忽視了自己，由于某種原因無(wú)法繼續(xù)，是的，人們會(huì)感到難過(guò)，但你的工作將在幾周內(nèi)被填補(bǔ)。你的工作并不愛(ài)你?！?/p>