[[441908]]

1.首席信息安全官角色的基本要素是什么?

每個(gè)人對(duì)首席信息安全官(CISO)這個(gè)職位都有著不同的看法，但人們通常談?wù)摰氖潜O(jiān)督企業(yè)安全計(jì)劃的管理人員。最初的看法是，首席信息安全官專注于使用安全技術(shù)阻止對(duì)企業(yè)的違規(guī)行為，盡管這是其工作的一部分，但首席信息安全官的作用遠(yuǎn)不止于此。

首席信息安全官的角色根據(jù)企業(yè)的情況而有所不同，具體取決于他們的需求。其工作范圍可能包括安全治理和合規(guī)性、隱私、產(chǎn)品安全，甚至物理安全。但在尋求功能之間的協(xié)同作用時(shí)，物理安全經(jīng)常被人忽視。

網(wǎng)絡(luò)安全和物理安全都具有共同的主題，并且都受益于高水平的態(tài)勢(shì)感知。對(duì)數(shù)字信息的威脅通常類似于對(duì)個(gè)人或設(shè)施的威脅，而物理安全事件也可以迅速演變?yōu)樾畔踩录?。這就是首席信息安全官和更廣泛的企業(yè)促進(jìn)物理和網(wǎng)絡(luò)安全實(shí)踐之間的聯(lián)系至關(guān)重要的原因。

除了在不同的安全領(lǐng)域擁有足夠的技術(shù)和知識(shí)之外，首席信息安全官還負(fù)責(zé)彌合技術(shù)與人員之間的差距。幫助非技術(shù)業(yè)務(wù)領(lǐng)導(dǎo)者了解應(yīng)該做出復(fù)雜技術(shù)決策的原因，可以使這些領(lǐng)導(dǎo)者成為安全的擁護(hù)者。

2.成為成功的首席信息安全官所需的主要能力是什么?

對(duì)任何首席信息安全官或安全領(lǐng)導(dǎo)者來(lái)說(shuō)，必不可少的兩種能力是親和力和適應(yīng)性。從本質(zhì)上來(lái)說(shuō)，安全專業(yè)人員需要能夠與他人密切協(xié)作并適應(yīng)變化。

如果將首席信息安全官的職責(zé)分解到其基本層面，它是一種基于說(shuō)服的職能，并依賴于強(qiáng)大的協(xié)作技能。首席信息安全官的工作是召集各級(jí)利益相關(guān)者(企業(yè)董事會(huì)成員、高管領(lǐng)導(dǎo)層和所有員工)成為安全倡導(dǎo)者和從業(yè)者。首席信息安全官還應(yīng)該阻止違規(guī)行為，雖然這是他們的目標(biāo)，但如果企業(yè)的每個(gè)人都不盡自己的一份力量，那么他們就無(wú)法做到這一點(diǎn)。這可能意味著改變對(duì)企業(yè)構(gòu)成安全風(fēng)險(xiǎn)的根深蒂固的行為，這需要時(shí)間、同理心以及對(duì)共同目標(biāo)的強(qiáng)烈認(rèn)同。安全團(tuán)隊(duì)可能會(huì)部署其想要的所有工具和流程，但如果員工沒(méi)有正確地做事的話，這些目標(biāo)都難以實(shí)現(xiàn)。

作為這一角色的一部分，首席信息安全官面臨著一項(xiàng)艱巨的任務(wù)，即說(shuō)服企業(yè)的每個(gè)利益相關(guān)者以統(tǒng)一積極的態(tài)度對(duì)網(wǎng)絡(luò)安全進(jìn)行投資——無(wú)論是在財(cái)務(wù)上還是在個(gè)人方面。首席信息安全官必須找到一種方式，以顯示對(duì)業(yè)務(wù)進(jìn)行支持的方式傳達(dá)其優(yōu)先事項(xiàng)。

協(xié)作是任何一個(gè)安全實(shí)踐成功的關(guān)鍵因素，因此建立一個(gè)具有各種不同技能、相互補(bǔ)充的安全團(tuán)隊(duì)將極大地增強(qiáng)業(yè)務(wù)活力。首席信息安全官不必?fù)碛杏?jì)算機(jī)科學(xué)學(xué)位，也不必?fù)碛胸S富的以技術(shù)為中心的職業(yè)道路。重要的是，他們需要與業(yè)務(wù)合作伙伴產(chǎn)生共鳴，并找到一條正確前進(jìn)的道路，通過(guò)保護(hù)企業(yè)的信息資產(chǎn)幫助他們?nèi)〉贸晒Α?/p>

3.人為因素與技術(shù)要求的契合度如何?

不言而喻，人員是安全計(jì)劃獲得成功的基礎(chǔ)，人為因素是首席信息安全官在安全方面應(yīng)該關(guān)注的重點(diǎn)。技術(shù)在安全領(lǐng)域當(dāng)然很重要，但隨著新的威脅和對(duì)策在網(wǎng)絡(luò)安全方面的不斷斗爭(zhēng)，技術(shù)也在不斷變化和發(fā)展。

首席信息安全官還需要花費(fèi)時(shí)間向他們的利益相關(guān)者宣傳這些對(duì)策。零信任就是一個(gè)很好的例子。雖然聽(tīng)起來(lái)很新穎且具有創(chuàng)新性，但這個(gè)概念已經(jīng)存在了幾十年——這不是魔術(shù)，而只是安全常識(shí)。但是，盡管零信任對(duì)安全從業(yè)者來(lái)說(shuō)聽(tīng)起來(lái)很酷，但最終用戶可能有不同的看法。研究發(fā)現(xiàn)，32%的企業(yè)安全領(lǐng)導(dǎo)者表示，如果實(shí)施零信任策略，擔(dān)心員工會(huì)認(rèn)為企業(yè)不信任他們。他們認(rèn)為，首席信息安全官應(yīng)該認(rèn)識(shí)到何時(shí)以及如何管理這樣的觀念以充分利用他們的技術(shù)戰(zhàn)略。

4.對(duì)首席信息安全官有何建議?

有人說(shuō)，“對(duì)于一名首席信息安全官來(lái)說(shuō)，如果沒(méi)有人對(duì)他大喊大叫，那么他可能沒(méi)有做好自己的工作。”盡管這聽(tīng)起來(lái)很極端，但它是真實(shí)的。他們的工作是進(jìn)行變革，這并不總是一個(gè)簡(jiǎn)單的過(guò)程，并且可能會(huì)在這一過(guò)程中會(huì)惹惱一些人。但為了提高企業(yè)的最佳安全性，首席信息安全官必須表明立場(chǎng)，讓員工走出他們的舒適區(qū)。

雖然首席信息安全官在遭遇網(wǎng)絡(luò)攻擊事件之后可能成為替罪羊，但人們?nèi)匀黄谕紫畔踩倌軌蚍乐惯`規(guī)行為，但在出現(xiàn)問(wèn)題時(shí)可能會(huì)指責(zé)他們。為此建議安全專業(yè)人士不要將這樣的情況視為個(gè)人行為——數(shù)據(jù)泄露是不可避免的，實(shí)際上可以為所有相關(guān)人員提供寶貴的經(jīng)驗(yàn)和教訓(xùn)。在現(xiàn)代企業(yè)中有如此多的活動(dòng)，首席信息安全官不可能每次都能成功阻止網(wǎng)絡(luò)攻擊事件。與其相反，應(yīng)該將關(guān)注重點(diǎn)放在從這些事件中吸取教訓(xùn)，并進(jìn)行調(diào)整以防止下一次網(wǎng)絡(luò)攻擊;他們還應(yīng)該了解這些事件可能對(duì)其團(tuán)隊(duì)成員造成的影響，并討論對(duì)于安全事件反應(yīng)的心理和情緒，以及如何在行動(dòng)中保持樂(lè)觀。

最后，首席信息安全官改變安全態(tài)度的使命只有在企業(yè)其他成員愿意傾聽(tīng)的情況下才能成功。雖然教育和說(shuō)服是安全團(tuán)隊(duì)的工作，但重要的是其他人也要參與進(jìn)來(lái)。在企業(yè)內(nèi)部開(kāi)展協(xié)作是構(gòu)建防御和抵御網(wǎng)絡(luò)攻擊和安全威脅的最佳方式。