随着共享经济、数据无处不在和权力下放的兴起,今天的公司需要一个团队——不仅仅是首席信息安全官(CISO)——来应对管理信息安全的巨大挑战。亿康先达最近召集了11位前线的高管网络安全-总法律顾问、首席信息官和首席技术官-分享他们在消费、工业、金融服务、科技和酒店行业的见解和经验。这个活动是由肖恩Duca他是帕洛阿尔托网络公司的首席信息官,以及亿康先达全球首席信息官赛琳娜•拉克鲁瓦通信技术练习。讨论集中于下列主题:
网络安全:四种应对方式
讨论一开始,Duca分享了公司在面临风险时可以采取的四种常见战略应对措施:
避免:对于损失可能性大、财务影响大的活动,最好的应对方法是避免该活动。
转移:对于发生概率低但有重大积极影响的活动,最好的应对办法是透过购买保险或建立伙伴关系,将部分或全部风险转移给第三者。
验收:如果成本效益分析确定降低风险的成本高于承担风险的成本,那么最好的应对措施是接受风险并持续监测风险。
缓解:对于可能发生但影响相对较小的活动,最好的应对措施是使用管理控制系统,以减少潜在损失的风险。
这些反应适用于网络安全威胁——这是当今企业无法忽视的一个风险因素。杜卡解释说,显然,避免所有在线活动的简单行为将使公司处于巨大的劣势,因为在当今的商业环境中,互联互通和流畅沟通至关重要。为了在安全与效率之间取得平衡,管理网络风险,组织应该从全面威胁风险评估开始。该评估用于识别你最重要的数据和设备,黑客如何获得访问权限,如果你的数据落入坏人之手可能会有什么后果,以及你有多容易成为攻击目标。这种评估可以在公司的IT部门内进行,也可以由经过认证的第三方进行,第三方可以指导您完成整个过程,并提供收费的监控服务。
这是可以理解的,在某些业务设置,如初创企业,或在快速业务扩张期间,网络安全可能是较低的优先级风险管理清单。然而,无论在何种特殊情况下,企业领导者仍有必要评估核心业务,并了解一旦发生违约,哪些潜在风险会影响整个基础设施或企业声誉。
组织内部的可见性
LaCroix指出,为了有效应对网络威胁,公司需要了解CISO的角色,特别是该角色在组织结构中的定位。传统上,在大多数组织中,CISO向CIO汇报。然而,随着网络安全风险管理成为当务之急,CISO在组织中的位置问题已经上升到许多公司议事日程的首位。在《财富》500强企业中,只有不到20%的首席信息官直接向首席执行官汇报,这仍然是一个很小的比例。在实践中,CISOs通常会有不止一个报告线,导致正式和非正式权威必须结合在一起的一些变化。
LaCroix根据多年在咨询和企业方面的法律实践,对在全球组织中观察到的CISO角色的最近趋势补充了一些额外的见解:
越来越多的公司设立了自己的首席信息官职位,通常位于首席信息官(CIO)、法律总顾问(General Counsel)或首席财务官(CFO)之下。
越来越多的组织让他们的CISO官员直接向首席执行官报告。
越来越多的董事会希望直接听取他们的CISOs的意见,这可以通过增加具有IT/安全背景的董事会成员或让CISOs向董事会报告来管理。最近的纽约网络安全条例事实上,要求至少有一名合格的个人担任首席信息官,并至少每年向董事会提交一份书面报告。虽然这项监管是在州一级,但它的影响更广泛。几乎每一个需要从纽约金融服务部获得许可证的机构(例如,信用合作社、保险公司、银行、抵押贷款经纪人)都在监管范围内。
今天的CISOs应该被理解为不仅仅是监督技术或安全。他们已经成为商业领袖,帮助确保和维护公司关键资产的机密性、完整性和安全性。对于公司来说,以一种能够利用这种转变的方式建立他们的组织是至关重要的。
培育企业网络安全文化
除了拥有正确的组织结构,与会者一致认为,公司需要有一个意识到网络威胁的公司文化,尽管这个关键因素经常被忽视。无论你的安全防火墙有多先进,如果员工点击了一个网络钓鱼骗局,让攻击者在没有意识到的情况下访问,那么一切都将是徒劳的。
在一个组织中,确保网络安全的关键在于每一个员工,而高层的态度在确保意识到这一点方面起着至关重要的作用。定期的培训和研讨会都是有帮助的,同时建立一个有效的内部组织和反应系统,当员工感到潜在威胁时可以求助。例如,专注于人工智能技术的中国初创企业亿图科技(Yitu Tech)成立了一个全职的安全团队,以及一个内部安全委员会,每周举行会议,讨论安全问题。
在商业环境中表达风险
与会者提到的CISOs、cio和其他网络安全专家面临的另一个关键挑战是,如何与最高决策者和董事会有效沟通。频繁使用行话和技术术语可能会给没有IT背景的人造成困惑,并危及他们为安全团队提供资金和支持的可能性。CISOs要掌握商业环境下的沟通,需要高水平的软技能、耐心、热情和影响能力。
亿康先达已经建立了我们在网络安全/CISO方面的全球记录通过过去两年65次以上的网络相关职位搜索。根据这些经验,我们看到了一种趋势,以前被认为是“架子和堆”的人坐在桌子后面,带着他们的安全系统,现在越来越多地要求从阴影中走出来,站在委员会面前。虽然这可能不是所有CISOs的常规任务,但他们可以采取以下三个基本步骤,从而获得成功:
第一步是做一个好的倾听者,理解业务的优先级和需求。然后具体解释一个潜在的威胁如何对业务的核心产生负面影响,以及随之而来的后果。这会让人们觉得你不是来制造问题的,而是把他们的兴趣放在心里,你可以成为解决问题的一部分。
第二步是在对话中使用更多的商业术语而不是技术术语。成本、收入、投资回报率、效率和客户满意度等关键词对企业高管来说都很熟悉。
最后,ciso将希望通过与首席执行官或cio(他们已经就安全问题进行了对话)开始,来促进与业务同行的更密切沟通。ciso可以看看他们需要做哪些不同的事情,以便在这些对话中更有效,寻求并接受关于哪些是有效的,哪些是无效的反馈。培养影响力技能对他们的成功至关重要。
特别感谢May Xu对本报告的研究贡献。
