在过去几年里,首席信息安全官(CISO)的角色经历了重大转变,从技术专家到组织高级领导团队的核心成员。但在金融服务和医疗保健等拥有大量个人信息、受到高度监管的复杂行业中,随着敏感数据在业务的各个方面发挥越来越重要的作用,该角色正在发生进一步演变。
这种更加以信息为中心的环境仍在形成中,要求在组织内部以不同的方式思考和管理风险(参见图1)。这种思维上的变化包括:
- 传统的网络安全关注的重点不再是电子邮件卫生和防火墙等战术元素,而是以数据本身为中心的更具战略性的观点。
- 减少对威胁的回应,更多地灌输适当的行为和管理对风险的认知。
- 从建造更高的墙和更深的护城河以防止入侵,到确保基于价值的定制化风险管理,以保护每一项信息资产。
一个更具战略意义的新角色
因此,首席信息官将从不可持续的“网络沙皇”职位演变为负责管理组织的信息风险,支持和维持适当的风险管理文化,并与c层就新技术的使用和进入新业务的信息风险影响进行接触。事实上,当一些成熟的组织(尤其是金融服务)采用诸如“首席信息风险管理官”这样的头衔时,我们可以看到这种转变的开始。这是一个可喜的进展,因为让网络安全人人有责一直是信息安全界的长期目标。
在未来的几年里,新一代的信息安全领导者将需要关注:
- 建立统一的观点和行为,形成在工作中使用和处理信息的社会规范——即使这些规范与人们在家里处理个人信息的方式不同。
- 管理信息安全的第一线分散方法所带来的不确定性和模糊性
- 具有特殊的战略导向,能够在指挥链之外进行沟通和影响。
- 随着这一角色从仅仅应对网络安全威胁扩展到管理信息风险的更广泛任务,技术洞察力和更广泛的业务理解。
然而,只有在有关信息风险和安全的必要认知和行为在整个组织中广泛根深蒂固之后,这些变化才会发生。在那之前,信息安全领袖们将全力以赴,创造共识,推动我们走向更安全的未来。
阅读全文从网络沙皇到风险官:首席信息官的下一次变革安全圆桌会议
