在大多數(shù)企業(yè)中,首席信息安全官和首席信息官都肩負(fù)著網(wǎng)絡(luò)安全的責(zé)任是很常見(jiàn)的,而這個(gè)問(wèn)題對(duì)于任何企業(yè)的有效運(yùn)營(yíng)越來(lái)越重要。明確的網(wǎng)絡(luò)安全所有權(quán)是企業(yè)安全成功定位的不可或缺的一部分。
根據(jù)國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)最近對(duì)近3700名全球網(wǎng)絡(luò)安全專(zhuān)業(yè)人員的一項(xiàng)調(diào)查,48%的網(wǎng)絡(luò)安全團(tuán)隊(duì)直接向首席信息安全官報(bào)告,25%的網(wǎng)絡(luò)安全團(tuán)隊(duì)向首席信息官報(bào)告。盡管這些在報(bào)告中存在差異,但表明首席信息安全官和首席信息官之間在安全職能所有權(quán)方面沒(méi)有顯著差異,其中涉及網(wǎng)絡(luò)攻擊增加或減少的觀點(diǎn)、檢測(cè)和響應(yīng)網(wǎng)絡(luò)威脅的能力以及網(wǎng)絡(luò)犯罪。
然而,該報(bào)告確實(shí)發(fā)現(xiàn)了與網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的執(zhí)行評(píng)估、企業(yè)董事會(huì)如何優(yōu)先考慮網(wǎng)絡(luò)安全以及戰(zhàn)略調(diào)整相關(guān)的差異。更重要的是,該報(bào)告還指出了一種越來(lái)越多的行業(yè)慣例,即首席信息安全官向首席信息官以外的任何人報(bào)告,尤其是當(dāng)首席信息安全官的范圍包括治理、風(fēng)險(xiǎn)和合規(guī)性、業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)、欺詐、信任以及安全或危機(jī)管理的時(shí)候。
由于企業(yè)的規(guī)模、部門(mén)和監(jiān)管要求等原因,首席信息官和首席信息安全官對(duì)網(wǎng)絡(luò)安全問(wèn)題的責(zé)任可能有所不同。盡管如此,隨著網(wǎng)絡(luò)安全與更廣泛的業(yè)務(wù)元素越來(lái)越緊密地交織在一起,誰(shuí)擁有什么類(lèi)型的網(wǎng)絡(luò)安全所有權(quán)以及為什么擁有這種權(quán)力變得越來(lái)越重要。
網(wǎng)絡(luò)安全責(zé)任:首席信息安全官vs.首席信息官
Lightico公司首席信息官Omri Braun以這種方式總結(jié)了大多數(shù)首席信息官和首席信息安全官的網(wǎng)絡(luò)安全職責(zé)之間的區(qū)別:“首席信息官更專(zhuān)注于確保使用正確的工具來(lái)最大限度地提高效率,以及識(shí)別影響企業(yè)和不斷尋找機(jī)會(huì)使用和生產(chǎn)更好的技術(shù)。首席信息安全官負(fù)責(zé)確保主動(dòng)保護(hù)數(shù)據(jù)安全性和完整性。”
Orange Cyber??defense公司全球首席信息安全官Richard Jones對(duì)此表示認(rèn)同。他說(shuō),“通常情況下,首席信息安全官的角色是從運(yùn)營(yíng)角度看待安全,保護(hù)企業(yè)免受網(wǎng)絡(luò)威脅。另一方面,首席信息官更側(cè)重于通過(guò)設(shè)計(jì)將安全性構(gòu)建到企業(yè)更廣泛的技術(shù)堆棧和正在進(jìn)行的數(shù)字化轉(zhuǎn)型項(xiàng)目中,以提高彈性、提升用戶體驗(yàn),并最大限度地提高效率。”
網(wǎng)絡(luò)安全架構(gòu)師Tee Patel表示,就安全投資回報(bào)率而言,首席信息官經(jīng)常被迫采取“黨派路線”,而首席信息安全官通常需要更加獨(dú)立,專(zhuān)注于保護(hù)業(yè)務(wù)安全。他說(shuō),“讓企業(yè)獲利并實(shí)現(xiàn)目標(biāo)(首席信息官)與保持IT安全(首席信息安全官)是首席信息官和首席信息安全官之間的顯著差異。”
這些區(qū)別可能很微妙。英國(guó)特許信息安全協(xié)會(huì)首席執(zhí)行官 Amanda Finch表示,首席信息安全官和首席信息官對(duì)數(shù)據(jù)的態(tài)度最好地概括了責(zé)任的差異。信息安全認(rèn)證和認(rèn)證機(jī)構(gòu)CREST公司總裁Ian Glover表示,從安全角度完全區(qū)分首席信息安全官和首席信息官的角色越來(lái)越困難。在大多數(shù)企業(yè)中,它們過(guò)于緊密地結(jié)合和相互關(guān)聯(lián)。
首席信息安全官的網(wǎng)絡(luò)安全職責(zé)
Zoom公司首席信息安全官Jason Lee表示,他的主要重點(diǎn)是保護(hù)關(guān)鍵信息,包括客戶數(shù)據(jù)、員工數(shù)據(jù)和源代碼。他說(shuō),“在安全方面,考慮大局很重要。這包括查看與業(yè)務(wù)相關(guān)的第三方并評(píng)估如何最好地管理任何風(fēng)險(xiǎn)。我還負(fù)責(zé)盡可能多地培訓(xùn)和教育員工,以確保他們?yōu)榘踩{做好準(zhǔn)備并受到保護(hù)。”
對(duì)于惠普公司的首席信息安全官Joanna Burkey來(lái)說(shuō),駕馭混合工作時(shí)代以保護(hù)企業(yè)是當(dāng)前安全工作的不可或缺的一部分。他說(shuō),“在過(guò)去18個(gè)月左右的遠(yuǎn)程工作模式中,網(wǎng)絡(luò)安全很容易對(duì)員工增加更多限制,因?yàn)樗麄兊墓ぷ魍ǔT跊](méi)有傳統(tǒng)的基礎(chǔ)設(shè)施保護(hù)的情況下進(jìn)行。”然而,這些安全政策和限制是為遠(yuǎn)程工作是例外而不是常態(tài)的時(shí)候設(shè)計(jì)的,需要通過(guò)新的視角來(lái)看待。她說(shuō),“首席信息安全官現(xiàn)在需要考慮其他降低風(fēng)險(xiǎn)的方法如何可以保護(hù)企業(yè),但同時(shí)也承認(rèn)現(xiàn)實(shí)生活中并不總是很好地遵守政策,尤其是在全球發(fā)生疫情之后。”
Jones補(bǔ)充說(shuō),管理由動(dòng)態(tài)網(wǎng)絡(luò)威脅格局和數(shù)字化轉(zhuǎn)型浪潮相結(jié)合引起的過(guò)載是現(xiàn)代首席信息安全官角色的另一個(gè)組成部分。她說(shuō),“網(wǎng)絡(luò)安全現(xiàn)在需要融入企業(yè)運(yùn)營(yíng)的各個(gè)方面,并成為從首席執(zhí)行官到初級(jí)員工每個(gè)人的首要考慮的事項(xiàng)。”他指出,首席信息安全官因此必須從頭開(kāi)始為企業(yè)數(shù)字環(huán)境的各個(gè)方面注入安全性,確保它從數(shù)字項(xiàng)目開(kāi)始就融入進(jìn)來(lái),最終減少安全團(tuán)隊(duì)面臨的警報(bào)量,讓他們能夠更好地利用技能和資源。
首席信息官的網(wǎng)絡(luò)安全職責(zé)
Finch指出,雖然首席信息安全官負(fù)責(zé)網(wǎng)絡(luò)安全的各種日常性和前瞻性規(guī)劃,但在大多數(shù)企業(yè)中,這些責(zé)任往往由首席信息官承擔(dān),首席信息官向首席執(zhí)行官和董事會(huì)成員報(bào)告。他說(shuō),“因此,首席信息官不能完全將責(zé)任交給首席信息安全官。與其相反,他們需要保持對(duì)安全戰(zhàn)略的認(rèn)識(shí),并確保不會(huì)使企業(yè)的整體戰(zhàn)略處于危險(xiǎn)之中,反之亦然。”
Tenable公司首席信息官Brad Pollard表示,當(dāng)今的首席信息官有一系列基于可用性、性能、預(yù)算和項(xiàng)目及時(shí)交付的安全責(zé)任。他說(shuō),“首席信息官支持企業(yè)內(nèi)的每個(gè)業(yè)務(wù)部門(mén)。在這樣做時(shí),他們繼承了每個(gè)業(yè)務(wù)部門(mén)的信息安全要求。”
例如,首席信息安全官很可能負(fù)責(zé)定義安全參數(shù),例如漏洞修復(fù)或訪問(wèn)控制的服務(wù)級(jí)別協(xié)議,但首席信息官有責(zé)任為所有業(yè)務(wù)部門(mén)滿足這些要求,并涵蓋企業(yè)的所有技術(shù)。Pollard說(shuō)。“首席信息官面臨的主要網(wǎng)絡(luò)安全挑戰(zhàn)是滿足業(yè)務(wù)需求,特別是保持預(yù)算和進(jìn)度,同時(shí)保持安全的環(huán)境。”
英國(guó)埃塞克斯大學(xué)首席信息官Jots Sehmbi表示,首席信息官的角色不僅僅是運(yùn)營(yíng)傳統(tǒng)業(yè)務(wù),還越來(lái)越多地包括實(shí)施新技術(shù),為企業(yè)提供數(shù)字能力。他說(shuō),“其中一些技術(shù)對(duì)企業(yè)來(lái)說(shuō)可能是新穎的(例如RPA、人工智能、物聯(lián)網(wǎng))并存在潛在風(fēng)險(xiǎn),例如數(shù)據(jù)的架構(gòu)方式。因此,首席信息官有責(zé)任深入了解新技術(shù)的網(wǎng)絡(luò)安全趨勢(shì)。”
沖突與合作
Braun表示,鑒于世界并不完美這一現(xiàn)實(shí),首席信息安全官和首席信息官不同的網(wǎng)絡(luò)安全責(zé)任和目標(biāo)可能會(huì)導(dǎo)致沖突。但是需要提高凝聚力,以確保正在使用具有前瞻性的技術(shù),該技術(shù)受到安全實(shí)踐的保障,不會(huì)危及企業(yè)、其數(shù)據(jù)或客戶的數(shù)據(jù)。
Jones表示,首席信息官和首席信息安全官不能孤立地看待自己,他們必須明白,雖然可能有不同的目標(biāo),但他們走的是同一條路。他說(shuō),“這兩個(gè)職位之間的協(xié)作和溝通是現(xiàn)代企業(yè)中的關(guān)鍵。首席信息安全官和首席信息官必須合作利用SD-WAN、SASE和零信任等技術(shù)和方法,以支持這些新的安全、高效的工作方式,并且不會(huì)影響可用性。”他補(bǔ)充說(shuō),首席信息安全官和首席信息官也必須意識(shí)到彼此的約束并在其中運(yùn)作。
Glover引用了此處涉及的監(jiān)管問(wèn)題,強(qiáng)調(diào)了國(guó)際監(jiān)管社區(qū)中一個(gè)新出現(xiàn)的問(wèn)題,監(jiān)管機(jī)構(gòu)現(xiàn)在認(rèn)識(shí)到有責(zé)任了解其受監(jiān)管實(shí)體提供的網(wǎng)絡(luò)安全保證水平。他說(shuō),“同一受監(jiān)管行業(yè)的首席信息官和首席信息安全官之間需要加強(qiáng)合作。監(jiān)管機(jī)構(gòu)會(huì)做他們認(rèn)為正確的事情,但通常會(huì)從自身的角度看待問(wèn)題。這種積極的影響與首席信息官和首席信息安全官的歷史角色大不相同,但是,如果謹(jǐn)慎而富有同情心地進(jìn)行,將降低業(yè)務(wù)成本,讓更多資源集中在控制而不是報(bào)告上,并通過(guò)展示對(duì)業(yè)務(wù)的真正理解以及降低成本和提高效率的必要性,提高首席信息官和首席信息官在企業(yè)中的地位。”
Lee補(bǔ)充說(shuō),網(wǎng)絡(luò)安全在業(yè)務(wù)運(yùn)營(yíng)中的發(fā)展作用正在改變首席信息官和首席信息安全官之間的凝聚力,這是他在Zoom公司親身體驗(yàn)過(guò)的。他說(shuō),“我們都必須優(yōu)先考慮網(wǎng)絡(luò)安全,并應(yīng)對(duì)日益增加的威脅。而在做出任何決定時(shí),安全性必須是我們的首要考慮因素。保持參與彼此的戰(zhàn)略和關(guān)鍵舉措至關(guān)重要。即使我們認(rèn)為不需要對(duì)方來(lái)確保很強(qiáng)的一致性,也會(huì)不斷地在策略中相互參與。這意味著我們的角色比過(guò)去更緊密地聯(lián)系在一起,使得協(xié)作變得更加重要。”
網(wǎng)絡(luò)安全所有權(quán)的未來(lái)
展望未來(lái),專(zhuān)家預(yù)測(cè)首席信息安全官和首席信息官的網(wǎng)絡(luò)安全職責(zé)將發(fā)生顯著變化。Finch說(shuō),“我們將看到首席信息官和首席信息安全官努力使安全成為具有一致性標(biāo)準(zhǔn)、行為和執(zhí)行的可信賴(lài)來(lái)源承擔(dān)同樣重要的責(zé)任,就像法律、醫(yī)學(xué)和會(huì)計(jì)等職業(yè)一樣。”
Zscaler公司首席信息安全官M(fèi)arc Lueck認(rèn)為,首席信息官在未來(lái)幾年將有一段有趣的網(wǎng)絡(luò)安全之旅。他指出,“或者他們擅長(zhǎng)平衡成本和收益模式這兩種截然不同的基本服務(wù),或者首席信息官將負(fù)責(zé)IT安全交付,由不再向他們報(bào)告的首席信息安全官管理并可能執(zhí)行。這兩種模式都將存在,而且只要合適的人擔(dān)任這些角色,兩者都會(huì)取得成功。”對(duì)于首席信息官而言,網(wǎng)絡(luò)安全失敗并不令人難忘,但對(duì)于首席信息官而言,網(wǎng)絡(luò)安全將變得與效率和成本削減技能一樣重要。
Pollard補(bǔ)充說(shuō),就像現(xiàn)代業(yè)務(wù)部門(mén)通過(guò)SaaS平臺(tái)承擔(dān)一些傳統(tǒng)IT職責(zé)一樣,首席信息官將更有責(zé)任在業(yè)務(wù)部門(mén)內(nèi)尋找安全專(zhuān)家。他補(bǔ)充說(shuō),“這些專(zhuān)家不僅需要知道如何保護(hù)所使用的特定技術(shù),還需要了解對(duì)特定業(yè)務(wù)部門(mén)構(gòu)成最大風(fēng)險(xiǎn)的威脅的態(tài)勢(shì)感知。”
Glover預(yù)測(cè),首席信息官和首席信息安全官的共同職責(zé)將在第三方連接和并購(gòu)領(lǐng)域發(fā)生變化,雙方都需要共同努力建立有意義的流程,以增加安全性和保障。他說(shuō),“他們將共同努力,以確保他們成為企業(yè)內(nèi)重大舉措的一部分,并在他們之間擁有力量和權(quán)威,就第三方關(guān)系以及收購(gòu)和合并做出明智和深思熟慮的聲明。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)