管理信息风险的新思维
在过去几年中,首席信息安全官(CISO)的角色经历了从技术专家到组织高级领导团队核心成员的关键转变。但在金融服务和医疗保健等拥有大量个人信息的高度监管的复杂行业,随着敏感数据在业务的各个部分发挥越来越重要的作用,这一角色正在经历进一步的演变。
这种更加以信息为中心的环境仍在形成中,需要以不同的方式思考和管理组织内的风险(参见图1)。这种思维上的变化包括:
- 从传统的网络安全关注战术元素,如电子邮件卫生和防火墙,转向以数据本身为中心的更具战略意义的观点。
- 少强调对威胁的反应,多强调灌输适当的行为和管理风险的感知。
- 从建造更高的墙和更深的护城河来防止入侵,到确保定制的基于价值的风险管理,以保护每一项信息资产。
一个更有战略意义的新角色
因此,首席信息官将从不可持续的“网络沙皇”职位演变为负责管理组织的信息风险,支持和维持适当的风险管理文化,并就新技术的使用和进入新业务的信息风险影响与高管接触。事实上,我们可以看到这种转变的开始,一些成熟的组织(特别是在金融服务领域)采用了诸如“首席信息风险管理官”之类的头衔。这是一个可喜的进展,因为让网络安全成为每个人的责任一直是信息安全界的长期目标。
在未来几年,新一代信息安全领导者将需要关注:
- 建立统一的观点和行为,形成工作中使用和处理信息的社会规范——即使这些规范不同于人们在家里处理个人信息的方式。
- 管理信息安全的不确定性和模糊性,这种不确定性和模糊性来自于向一线分散方法的转变
- 具有卓越的战略导向和在指挥链之外进行沟通和影响的能力。
- 技术悟性和更广泛的业务理解,因为角色从解决网络安全威胁扩展到管理信息风险的更广泛任务。
然而,只有在有关信息风险和安全的必要认知和行为在整个组织中广泛根深蒂固之后,这些变化才会发生。在那之前,信息安全领导者将会忙着达成共识,推动我们走向更安全的未来。
阅读全文从网络沙皇到风险官:首席信息官的下一步发展保安圆桌会议