2015年网络安全晚宴,纽约
讨论了
数据的无所不在性、去中心化控制和复杂的新地下组织成员的结合,为组织提供了一场信息安全领导层要面对的完美风暴。最近,亿康先达网络安全实践组织召集了十位身处这些挑战前线的高管——首席信息官、首席法律官和全球安全咨询公司的领导者——讨论他们的经验。他们的意见集中在以下四个问题上:
CISO这个职位越来越难填补
从幕后经理到知名专家,再到董事会顾问,某些功能性领导角色有一个既定的发展轨迹。在过去的十年里,首席信息官和总法律顾问都跨越了这条轨迹,首席信息官现在也在这么做。如今,理想的首席信息官需要是一个战略思考者,既能主持IT专家会议,也能向董事会报告,而且在这两种情况下都能非常高效。虽然这对那些迫切要求提升该职位的人来说是个好消息,但它提高了该职位所需能力的标准,进一步加剧了本已严重的人才短缺。
从威胁预防到威胁管理的转变
攻击者的特征已经从流氓黑客演变为复杂的犯罪团伙,利用电子商务和国家储存其他国家公民信息的漏洞。在这种新环境下,组织现在理所当然地认为他们不断受到攻击——而且这些攻击通常会成功。然后,目标就变成了制定和实施战略和应对协议,以预测威胁并将损害降到最低——这是一项复杂得多的任务,而不仅仅是充当防守守门员。
威胁面的扩大
随着现代生活中越来越多的互动是通过数字设备和通信进行的,一个组织的成员有更大的机会通过回复可疑的电子邮件、在网上分享不适当的信息、不保护设备和其他增加脆弱性的行为造成无意的安全威胁。(这个问题延伸到整个商业链,包括供应商和合作伙伴的员工。)解决方案不仅仅是教育,而是改变行为——这是一个艰巨的任务,因为需要采用的行为通常会使技术的使用变得更加繁琐。
虽然在适应这种更广泛的攻击表面方面已经取得了很大的进步,但组织经常发现自己在信息安全领导能力方面仍在追赶。这样做的紧迫性更加突出,因为随着物联网和电子医疗记录等发展,攻击面将继续扩大,它们进一步融合了政府、企业和个人数据网络,每个都有不同的敏感性和可用性要求。
结构演变反映了不断变化的世界的优先事项
首席信息官这个角色的成熟引发了人们对这个人应该向谁报告的重新审视——这个问题通常没有明显的答案。但也有另一种结构性动力在起作用:许多人预计,正如信息安全功能的战略重要性导致其独立存在一样,对隐私的日益强调将导致更多的首席隐私官,负责在全组织范围内关注客户隐私,并在缺乏全球标准的情况下管理日益复杂的合规问题网络。
访问论文全文2015年网络安全晚宴,纽约.
