CISO發(fā)現(xiàn)自己正處于一個充滿挑戰(zhàn)的雷區(qū)，從預(yù)算緊張限制資源到文化障礙，無所不包。以下是他們?nèi)绾巫詈玫貞?yīng)對這些挑戰(zhàn)的方法。

在過去十年中，每位CISO都知道自己在董事會會議室里會面臨什么問題：我們能否在下一次網(wǎng)絡(luò)攻擊中幸存下來?如今，隨著動蕩的2024年即將結(jié)束，擔(dān)憂加倍了，Kinly公司的CISO唐·吉布森表示。董事會成員經(jīng)常問：我們能在這場經(jīng)濟(jì)風(fēng)暴中幸存下來嗎?或者，我們?yōu)榈鼐壵物L(fēng)暴做好準(zhǔn)備了嗎?

全球沖突加劇、經(jīng)濟(jì)不穩(wěn)定以及新法規(guī)激增，給CISO及其企業(yè)帶來了壓力。如今，CISO必須管理一系列問題，而往往可用的資源有限。

Foundry最近的一項調(diào)查顯示，預(yù)算緊張、優(yōu)先級沖突以及持續(xù)吸引和留住技能型人才的斗爭，是CISO在企業(yè)安全工作努力中面臨的障礙。其他挑戰(zhàn)還包括員工意識和培訓(xùn)不足，以及企業(yè)和文化障礙，所有這些都可能阻礙他們有效開展工作。

雖然用更少的資源做更多的事情一直是工作的一部分，但今天的壓力要求我們重新思考。

“調(diào)整你的期望，”吉布森說，“總有選擇的余地?！?/p>

充分利用每一分錢

從整個企業(yè)的角度來看，網(wǎng)絡(luò)安全通常優(yōu)先級較低，因為它不直接產(chǎn)生收入。SafeBreach公司的CISO阿維沙伊·阿維維將其比作保險：“你寧愿不付錢，但當(dāng)你需要它并且擁有它時，你會很高興?！?/p>

資源有限，威脅清單卻不斷增長，CISO們往往要同時管理多個項目。其中一些項目可能會逐步推進(jìn)，但如果沒有明確的里程碑或可衡量的進(jìn)展，就很難展示它們的實際影響。這使得CISO更難獲得額外的資金或支持，尤其是當(dāng)利益相關(guān)者看不到堅實、有形的結(jié)果時。

“這幾乎不可能展示出有意義的成功，”Phosphorus公司的CSO約翰·特里爾說，“很多時候，這就像試圖煮沸大海。”

許多CISO建議學(xué)會“用商業(yè)語言交流”，并偶爾讓董事會感到害怕以獲得更多資金，但這些方法的作用有限?！肮镜馁Y源是有限的，你必須接受這一點，”阿維維說。

在這種情況下，CISO必須戰(zhàn)略性地考慮首先要解決哪些風(fēng)險。關(guān)鍵是要弄清楚哪些需要緊急關(guān)注，哪些可以暫時保持不變。

自動化工具也可以大有幫助，尤其是對于無法負(fù)擔(dān)大型、專職安全、合規(guī)和數(shù)據(jù)隱私團(tuán)隊的小型公司而言?！捌髽I(yè)必須實施并利用自動化的治理、風(fēng)險和合規(guī)(GRC)解決方案，以幫助整合風(fēng)險、合規(guī)監(jiān)控、漏洞監(jiān)控和入侵檢測，”Rhymetec公司的CISO梅廷·科塔克說。

平衡優(yōu)先級

當(dāng)面臨一長串優(yōu)先級但只有有限資源時，創(chuàng)建一套明確的風(fēng)險偏好聲明可能改變游戲規(guī)則。它有助于定義企業(yè)愿意接受的風(fēng)險水平，從而更容易決定在哪里投入精力和資源。

“使員工和企業(yè)領(lǐng)導(dǎo)層在風(fēng)險偏好上保持一致，對于將你的精力和資金集中在最需要的地方非常有幫助，”Secureworks公司的CISO肯·戴茨說，“如果企業(yè)有明確的安全風(fēng)險偏好，那么優(yōu)先級就會一目了然。”

CISO應(yīng)該公開如果優(yōu)先級得不到解決，企業(yè)將面臨的風(fēng)險?！斑@種陳述需要用與業(yè)務(wù)相關(guān)的術(shù)語來表達(dá)，”阿維維說，“僅僅告訴首席執(zhí)行官和董事會我們必須通過SOC 2 Type II審計，并不如告訴他們我們的客戶要求任何新銷售都必須有干凈的SOC 2 Type II認(rèn)證那么有分量?！?/p>

吉布森也支持這種方法?！澳銚碛凶约旱牟呗?，所以你決定優(yōu)先級。如果董事會希望你改變它們，那么他們可以承擔(dān)風(fēng)險，并向你解釋為什么這更重要?！?/p>

在整個企業(yè)建立安全文化

有些優(yōu)先級可能有待商榷，但有一件事是不可協(xié)商的：在整個企業(yè)建立強大的安全文化。出于好意但僅僅出于好奇或想幫忙的員工可能會點擊釣魚鏈接或錯誤處理敏感信息，從而為威脅打開大門。

為了解決這個問題，主動培訓(xùn)至關(guān)重要?！捌髽I(yè)需要投資于最新的網(wǎng)絡(luò)安全培訓(xùn)，并使用AI和機(jī)器學(xué)習(xí)來模擬實時網(wǎng)絡(luò)攻擊，”科塔克說，“員工必須獲得應(yīng)對威脅的實踐經(jīng)驗，以確保他們理解理論概念，并能在真實場景中應(yīng)用實用技能?！?/p>

同時，保持安全應(yīng)該是簡單直接的——它應(yīng)該感覺像是做生意的自然組成部分?！拔以噲D以這樣一種哲學(xué)來領(lǐng)導(dǎo)：做正確的事應(yīng)該是容易的，”戴茨說，“如果遵守企業(yè)的安全流程很復(fù)雜且難以理解，那么你永遠(yuǎn)不會成功?！?/p>

例如，實施基于FIDO2的無密碼身份驗證系統(tǒng)將使企業(yè)更安全，并降低員工的復(fù)雜性，同時消除了記住獨特復(fù)雜密碼的要求，戴茨說。

安全培訓(xùn)應(yīng)該包括每個人，即使是技術(shù)崗位的人員——特別是在IT對業(yè)務(wù)至關(guān)重要的公司中?！癐T工程師被培訓(xùn)成交付功能性產(chǎn)品——一個應(yīng)用程序、一個網(wǎng)絡(luò)等——而不是安全的產(chǎn)品，”BforeAI公司的CSO德米特里·奇赫洛說，“CISO如果不能全面地解決這個問題，就有可能在他們的第一道防線內(nèi)創(chuàng)建一個脆弱的人力層?！?/p>

克服企業(yè)和文化障礙

當(dāng)企業(yè)和文化障礙發(fā)揮作用時，CISO的工作可能會變得具有挑戰(zhàn)性。例如，當(dāng)安全團(tuán)隊由于無法控制的因素而無法發(fā)揮最佳表現(xiàn)時，他們可能會感到沮喪或氣餒。而其他團(tuán)隊往往需要了解為什么支持那些不會立即產(chǎn)生結(jié)果的網(wǎng)絡(luò)安全相關(guān)項目很重要。

為了解決這個問題，阿維維調(diào)整了自己的信息傳達(dá)方式，旨在以真正引起每個團(tuán)隊共鳴的方式與他們溝通?！袄纾_發(fā)人員會坦率地承認(rèn)，主動并按照自己的節(jié)奏修復(fù)安全漏洞要比等到漏洞變成必須放下一切去修復(fù)的違規(guī)行為，讓客戶對著他們大吼大叫容易得多，”他說，“作為CISO，你必須了解他們的需求和背景，以及你的計劃如何影響他們?！?/p>

許多企業(yè)和文化障礙可以通過溝通和協(xié)作來克服?！霸谂c同事領(lǐng)導(dǎo)管理關(guān)系和建立信任上花費時間和精力，絕不是浪費精力，”戴茨說。

贏得人才競爭

由于人才缺口仍然影響著網(wǎng)絡(luò)安全領(lǐng)域，CISO必須在建設(shè)和保持一支技能型團(tuán)隊方面保持聰明。通常，網(wǎng)絡(luò)安全專家比開發(fā)人員更難替換，而且這個過程需要時間和金錢。

“對于一些像工程這樣的職位，員工可以并且經(jīng)常從第一天就開始工作，”科塔克說，“當(dāng)聘請新的網(wǎng)絡(luò)安全員工時，他們必須了解公司的歷史知識，并接受培訓(xùn)，學(xué)習(xí)前任制定的過往框架和安全政策?！?/p>

在招聘時，戴茨建議企業(yè)優(yōu)先考慮熱情和職業(yè)道德，而不是技術(shù)知識和經(jīng)驗?！邦I(lǐng)導(dǎo)者應(yīng)該考慮培訓(xùn)人員來做這項工作，這比支付市場上最有經(jīng)驗的候選人更有投資價值，”他說，“最好的安全表現(xiàn)者幾乎總是你從一開始就培訓(xùn)的那個人?！?/p>

如果員工感覺有機(jī)會成長，他們往往更愿意留在公司。這就是為什么為他們設(shè)定目標(biāo)并“提供晉升機(jī)會”很關(guān)鍵，特里爾說。管理他們的工作量也是如此。正如Radware公司的CISO霍華德·泰勒所說，“在沒有能力增加更多員工和工具的情況下，CISO和安全團(tuán)隊的工作量繼續(xù)呈指數(shù)級增長，增加了倦怠的風(fēng)險?！?/p>

為了防止這種情況，CISO應(yīng)該照顧好他們的團(tuán)隊，并允許他們不時地休息一下。這正是吉布森在一個月壞天氣后的一個晴天所做的?！拔野阉麄冋偌饋黹_緊急會議，告訴他們離開機(jī)器，出去一個小時。感受陽光。呼吸新鮮空氣，”他說，“他們至今仍在談?wù)撨@件事?！?/p>

法規(guī)、AI、民族國家破壞CISO的計劃

CISO還需要處理其他一些問題。其中之一與快速演變的監(jiān)管要求有關(guān)?！叭蚋鞯氐谋O(jiān)管機(jī)構(gòu)都開始對他們希望在企業(yè)內(nèi)部看到的安全計劃施加更多控制，因此，監(jiān)管合規(guī)被高度優(yōu)先考慮，”戴茨說。

AI也在改變游戲規(guī)則。據(jù)阿維維稱，在沒有完全理解所有影響的情況下，人們正爭相在多個層面擁抱AI技術(shù)。“與之相關(guān)的是整個深度偽造的話題，這放大了惡意行為者成功對你最脆弱的資產(chǎn)——你的員工——執(zhí)行社會攻擊的能力?！?/p>

特里爾還擔(dān)心由國家贊助的攻擊。“這開始改變很多優(yōu)先級，讓我們開始關(guān)注零信任、微細(xì)分、OT/IoT防御以及其他被認(rèn)為更先進(jìn)的策略，”他說，“這是在許多行業(yè)團(tuán)體反對CISA在CIRCIA中的報告要求的背景下發(fā)生的。因此，雖然有提高安全的愿望，但不太愿意報告事件?！?/p>

鑒于所有這些壓力，吉布森建議CISO記住他們也是人，應(yīng)該試著照顧好自己。“記住，你的工作并不愛你，”他說，“像我一樣熱愛你的工作是可以的，但如果你忽視了自己，由于某種原因無法繼續(xù)，是的，人們會感到難過，但你的工作將在幾周內(nèi)被填補。你的工作并不愛你?！?/p>