在过去的几年中,首席信息安全官(CISO)的角色从技术大师到组织高级领导团队的核心成员进行了重要的转变。但是,在拥有大量个人信息的高度监管,复杂的行业(例如金融服务和医疗保健)中,随着敏感数据在业务的各个方面越来越重要的核心作用,该角色正在进一步发展。
这种仍在形成的更为以信息为中心的环境要求采取不同的思考和管理组织内风险的方式(请参见图1)。这种思维的变化包括:
- 从传统的网络安全侧重于电子邮件卫生和防火墙等战术元素转变为以数据本身为中心的更具战略意义。
- 减少对威胁的反应,而更多地灌输适当的行为和管理对风险的看法。
- 从建造更高的墙壁和更深层次的护城河的转变,以防止侵入到确保保护每个信息资产的基于定制的基于价值的风险管理。
一个更具战略角色的新资料
The CISO thus will evolve from the unsustainable “cyber czar” position to become responsible for managing the organization’s information risks, supporting and sustaining the appropriate risk management culture and engaging with the C-suite regarding the use of new technologies and the information-risk implications of entering new businesses. Indeed, we can see the beginning of this shift as some sophisticated organizations (especially in financial services) adopt titles such as “Chief Information Risk Management Officer.” This is a welcome development, given that making cybersecurity everyone’s responsibility has been a longstanding goal of the information security community.
在未来的几年中,新的信息安全负责人将需要关注:
- 建立统一的观点和行为,这些观点和行为可以使有关工作中信息使用和处理的社会规范结晶,即使这些规范与管理人们如何在家中处理个人信息的规范不同。
- 管理从转移到前线,分散的信息安全方法的不确定性和歧义
- 具有出色的战略取向以及在指挥链之外交流和影响的能力。
- 随着角色从仅仅应对网络安全威胁到管理信息风险的更广泛任务,技术野蛮和更广泛的业务理解。
这些更改只有在对信息风险和安全性的必要看法和行为之后才会在整个组织中广泛根深蒂固。在此之前,信息安全负责人将全力以赴,创造共识,并将我们推到更安全的未来。
阅读全文从网络沙皇到风险官:CISO的下一个进化在安全圆桌会议中