随着共享经济、数据无处不在和权力分散的兴起,如今的公司需要一个团队——而不仅仅是首席信息安全官(CISO)——来应对管理信息安全的巨大挑战。亿康先达最近召集了11位一线高管网络安全-总法律顾问、首席信息官和首席技术官-分享他们在消费、工业、金融服务、技术和酒店行业的见解和经验。这次活动是由肖恩Duca帕洛阿尔托网络公司(Palo Alto Networks)首席信息技术官、亿康先达(Egon Zehnder)全球业务负责人赛琳娜•拉克鲁瓦(Selena LaCroix)科技与通讯练习。讨论集中于下列主题:
网络安全:四种应对方式
在讨论开始时,杜卡分享了企业在面临风险时可以采取的四种常见战略应对措施:
避免:对于损失可能性大、财务影响大的活动,最好的应对办法是避免参与。
转移:对于发生概率较低,但具有重大积极影响的活动,最好的应对方式是通过购买保险或建立合伙关系,将部分或全部风险转移给第三方。
验收:如果成本效益分析确定减轻风险的成本高于承担风险的成本,那么最好的应对措施是接受风险并持续监测风险。
缓解:对于可能发生但影响相对较小的活动,最好的应对措施是使用管理控制系统,以降低潜在损失的风险。
这些应对措施适用于网络安全威胁,这是当今企业无法忽视的风险因素。杜卡解释说,显然,避免所有在线活动的简单行为将使公司处于巨大的劣势,因为在当今的商业环境中,互联互通和流畅的沟通至关重要。为了在安全和效率之间取得良好平衡,管理网络风险,组织应该从一般威胁风险评估开始。该评估用于识别你最重要的数据和设备,黑客如何获得访问权限,如果你的数据落入坏人之手可能会有什么后果,以及你有多容易成为目标。该评估可以在公司的IT部门内进行,也可以由经过认证的第三方进行,第三方可以指导您完成整个过程,并提供收费的监控服务。
可以理解的是,在某些业务设置中,如初创企业,或在业务快速扩张期间,网络安全可能是一个较低的优先级风险管理清单。然而,无论特殊情况如何,商业领导者仍然必须评估核心业务,并了解一旦发生违约,哪些潜在风险可能影响整个基础设施或商业声誉。
在组织内部的可见性
LaCroix指出,为了有效应对网络威胁,公司需要了解CISO的角色,特别是该角色在组织结构中的定位。传统上,在大多数组织中,CISO向CIO报告。然而,随着网络安全风险管理已成为首要任务,CISO在组织中的位置问题已成为许多公司的首要议程。在财富500强企业中,只有不到20%的首席信息官直接向首席执行官汇报,这仍然是一个很小的比例。在实践中,ciso通常会有不止一条报告线,导致必须结合正式和非正式权限的许多变化。
LaCroix根据多年的咨询和公司方面的法律实践,补充了一些额外的见解,关于在全球组织中观察到的CISO角色的最新趋势:
越来越多的公司设立了自己的首席信息官职位,通常在首席信息官、法律总顾问或首席财务官之下。
越来越多的组织让他们的CISO直接向首席执行官报告。
越来越多董事会希望直接听取他们的ciso的意见,这可以通过增加具有IT/安全背景的董事会成员或让ciso向董事会报告来管理。最近的《纽约网络安全条例》,事实上,要求至少一名合格的个人担任首席信息官,并至少每年向董事会提交一份书面报告。虽然这项规定是在州一级,但其影响更广泛。几乎所有需要从纽约金融服务部获得许可证的机构(例如,信用合作社、保险公司、银行、抵押贷款经纪人)都受该规定的保护。
今天的ciso应该被理解为不仅仅是监督技术或安全。他们已经成为帮助确保和维护公司关键资产的机密性、完整性和安全性的商业领袖。对于公司来说,以一种可以利用这种转变的方式来建立他们的组织是至关重要的。
培育企业网络安全文化
除了拥有正确的组织结构外,与会者一致认为,公司需要具有网络威胁意识的企业文化,尽管这一关键因素经常被忽视。无论您的安全防火墙有多先进,如果员工点击网络钓鱼骗局并在不知情的情况下向攻击者提供访问权限,一切都将是徒劳的。
确保组织网络安全的关键在于每个员工,而来自高层的语气在确保意识方面发挥着至关重要的作用。定期的培训和研讨会都是有帮助的,同时建立一个有效的内部组织和反应系统,当员工感到潜在的威胁时可以求助。例如,专注于人工智能技术的中国初创企业易图科技(Yitu Tech)成立了一个全职安全团队,以及一个每周召开会议讨论安全问题的内部安全委员会。
在商业环境中表达风险
与会者提到的ciso、cio和其他网络安全专家面临的另一个关键挑战是如何与最高决策者和董事会有效沟通。频繁使用行话和技术术语可能会让没有IT背景的人感到困惑,并危及他们为安全团队提供资金和支持的可能性。对于ciso来说,要在商业环境中掌握沟通,需要高水平的软技能、耐心、热情和影响能力。
亿康先达已经做到了建立了我们在网络安全/CISO方面的全球记录在过去两年里,通过65个以上的网络相关职位的搜索。基于这些经验,我们看到了一种趋势,以前被认为是“机架和堆栈”的人坐在桌子后面,带着他们的安全系统,越来越多地要求ciso从阴影中走出来,站在董事会面前。虽然这可能不是所有ciso的常规任务,但他们可以采取三个基本步骤来获得成功:
第一步是做一个好的倾听者,了解业务的优先级和需求。然后具体解释一个潜在的威胁如何对业务核心产生负面影响,以及它的后续后果。这会让人们觉得你不是来制造问题的,而是把他们的利益放在心上,你可以成为解决方案的一部分。
第二步是在对话中使用更多的商业术语而不是技术术语。成本、收入、投资回报率、效率和客户满意度等关键词对业务主管来说都很熟悉。
最后,ciso将希望从首席执行官或首席信息官(cio)开始,与他们的业务同行进行更密切的交流,因为他们已经就安全问题展开了对话。ciso可以看看他们需要做什么不同的事情,以便在这些对话中更有效,寻求并接受关于什么有效,什么无效的反馈。培养影响力技能对他们的成功至关重要。
特别感谢May Xu对本报告的研究贡献。