新任首席信息安全官手册:准备好啃硬骨头

今天的隐私及监管需求、威胁涵盖范围,以及恶意员工行为,都要求首席信息安全官(CISO)往自己的战术手册中再添新招。

时代已变,过去被认为是纯技术职位的CISO一职,如今必须成为业务驱动者,能够以业务用语阐述和沟通其安全计划的价值。

过去几年中,新手CISO快速成长为高效安全领导者所应采取的最佳实践和基本步骤并没有太大改变。首先,他们必须评估安全状态,然后组建优秀的安全团队,构筑与业务主管和公司高管之间的良好关系与信任。但如今,其中一些惯例需要小心行事了。

现在的CISO要与多方面的利益相关者协作,构建越来越多样化的团队以处理不同领域的问题,包括监管与隐私问题、产品安全与影子IT等。

他们还需要具备商业敏锐度,能与董事会沟通。到2020年,100%的大型企业至少每年都得向董事会报告网络安全与技术风险,2018年这个报告比例是40%。

而且,网络安全需求也越来越多样化,行业间各不相同。今天的环境下,CISO得花更多时间了解身处的行业和公司的战略方向及业务重点。

成功在新公司站稳脚跟的CISO偕同行业专家给新晋CISO提供了5个实用新战术。

1. 进行安全成熟度评估

  • 告诫:别让“完美”成了“足够好”的绊脚石。

新任CISO的首要任务之一就是评估公司安全工作的状况。这需要首先确定公司的网络安全状态和现有风险,然后盘点公司关键资产并确定如何保护这些资产。

当前安全状态和安全成熟度评估可能耗时颇久,但能找出安全漏洞并分出轻重缓急,令CISO从宏观上把握公司安全工作走向,为后续工作打好基础。

在进入新角色的第一年里就想事无巨细地搞定评估是不现实的,千万别让“完美”最终成为“足够好”的阻碍。在可用资源与投资的基础上理清前面未完成工作的原因,合理制定并完成今后的计划是比较理性的选择。

2. 快速拿出成绩以建立信任

  • 告诫:有时候甚至在奠定关系基础之前就需要拿出成绩了。

新手CISO通常会将就任的前几个月花在熟悉同事、举行部门会议和“显示存在感”上。可以利用这段时间倾听同事心声、表达同理心,最重要的是了解他们的目标以帮助他们获得成功,并以此来积累自己的政治资本。

但有时候,除非你能解决“令工作痛苦不堪的主要技术问题”,比如让IT部门手忙脚乱的身份验证或远程访问漏洞,否则你不可能就网络安全威胁展开深入对话。没人愿意在问题尚未解决时谈论安全。现实就是,CEO只会问你“为什么问题还没解决?”,而不会说“讲讲公司的战略方向和你这职位的重要性”。尽快拿出能产生价值的成绩,然后乘势而上,推进你的议程。

3. 与业务线和关键利益相关者搞好关系

  • 告诫:将人力资源、法务、合规、隐私和风险官纳入联系人列表。

随着欧盟和美国新隐私立法与监管的成型,CISO的职能也囊括进了隐私、信息风险和企业风险。人力资源(HR)应处在保护员工隐私的第一线,法律部门盯紧合规操作。这两个部门是过去看来似乎不那么重要的,但现在的环境下已经成了主要利益相关者,必须与之紧密互动,确保能平衡风险、安全和隐私。

新合规监管下,卡巴斯基实验室调查过的250名CISO和IT安全主管中有2/3都与法律部门紧密合作。43%的CISO称,与HR的关系也十分重要,尤其是在身份和访问管理问题上。少数公司还设置了首席隐私官,这也是CISO应维护好的另一重要关系。

因为与网络安全相关,这也是CISO成为行业法律与合规专家的大好机会。若公司有合规办公室,务必要让他们成为你的好伙伴。尽可能地多学东西,然后将所学合规知识揉碎成员工、高管和董事能理解的语言。拉出一张重要事项表,重点解决表上列出的最重要事项。

4. 寻求外界支持与协作

  • 告诫:与行业竞争者共享你的策略。

CISO这个职位涵盖非常广泛,事务繁杂,工作压力大。若有人可以提供支持和早期建议,那将对你的职业发展产生不可估量的作用。与竞争公司的CISO组成支持网络是个不错的方法。可以定期举行会议和工作组,共享信息,交换知识,合作共赢。CISO之间不存在真正的竞争,一起讨论威胁信息、预算和安全策略比闭门造车有效率得多。

5. 清楚你在公司中的位置

  • 告诫:准备好啃硬骨头。

作为新上任的CISO,了解自己的角色和职权范围非常重要。在CISO的职业生涯中,你将不可避免地发现重要位置上的员工在做坏事,提前做好准备比较好。尽早与管理层和人力资源部门沟通,讨论与潜在员工问题相关的场景,一起找出应对之策。

每家公司都有自己独特的情况,实际场景的学习可以促进CISO方法论的完善。

上一篇:火眼:中国企业可以成为全球网络安全标杆

下一篇:谷歌批露苹果macOS内核高危严重漏洞