大型數(shù)據(jù)泄露事件,可導致CISO甚至是CEO失去工作。但千里之堤毀于蟻穴,一些不甚明顯的紕漏,也能帶來嚴重后果。以下5種情況,CISO需要關注并小心。
1. 重點工作只放在防護上
正如最近的Equifax和雅虎數(shù)據(jù)泄露呈現(xiàn)的,數(shù)據(jù)泄露可為公司企業(yè)帶來嚴重的信譽傷害。在這種情況下,如果能證明CISO疏于安裝最新補丁,或沒在數(shù)據(jù)中心、遠程辦公室及網(wǎng)絡邊界上安裝恰當?shù)姆阑饓Γ瑳]能更新企業(yè)的數(shù)據(jù)環(huán)境以應對最新威脅,那么,CISO被炒基本是注定的。
遭遇歷史性安全事件,導致重大經濟損失和大量負面宣傳,這時候炒掉CISO很大程度上是出于公關考慮,公司必須向公眾表明他們在采取行動。其他情況,就是CISO確實玩忽職守,準備不足了。他們沒有堅實的響應及恢復計劃,一個本可以限制不良影響的計劃。CISO將重點只放在防護上的情況太常見了。
數(shù)據(jù)泄露通常導致最高調的解雇,因為數(shù)據(jù)泄露總是登上新聞頭條,且會影響到很多人。公司里,CISO應對每一個自己雇來的人負責。因此,即便數(shù)據(jù)泄露并非CISO的直接責任,其任職合約往往也會被終止。
2. 擔責任卻沒溝通
認為公司所有風險決策都是自己責任的CISO,基本上等于將自己的工作置于風險之中。這種情況下,CISO會站在安全、風險和合規(guī)的角度,定義公司哪些事能做,哪些事不能忍,而不是作為溝通促進者讓決策層行使決策責任。
太多安全高管認為自己肩上扛著整個公司,導致技術知識超越了業(yè)務領域。因此,他們根本不溝通風險,實際上抑制了管理層決策風險管理投入的能力。
CISO必須能夠向不熟悉安全的董事或高管清晰地解釋風險和安全解決方案,以便他們能在風險耐受上做出明智決策。這么做,可以讓CISO卸下獨力承擔任何安全漏洞的重擔。
CISO必須與整個公司所有部門協(xié)作,才可以推行有效的安全策略。CISO與高級領導層和公司其他部門成員有效溝通的能力,是十分關鍵的。缺乏有效溝通,不僅僅會導致CISO領導下的團隊效率低下,還會影響到鄰近部門的表現(xiàn)。
3. 合規(guī)失敗
基于公司性質和需要保護的數(shù)據(jù),CISO必須履行合規(guī)職責,遵從國家政策和法律。很多公司甚至在競價投標、提供服務或供貨上都必須遵守合規(guī)監(jiān)管義務。只要沒通過合規(guī)認證,公司的銷售基礎就會受到動搖。
如果沒能維持合規(guī)狀態(tài),且被內部或外部審計員找到了較大合規(guī)空白,預算外的非預期修復開銷,就會讓公司陷入修補去年疏漏的泥潭,而不是用于構筑更好的未來。這一旋渦會越來越難以逃離。
合規(guī),尤其是在網(wǎng)際互連數(shù)據(jù)共享的數(shù)字時代合規(guī),是非常重要的頭等大事。隨著時間推移,合規(guī)規(guī)定正變得越來越嚴格、復雜和繁多。
各種規(guī)定隨行業(yè)、地區(qū)、國家及其他因素而有所不同,合規(guī)責任通常落在CISO及其他安全和IT主管身上,他們要與內部律師或外部法律專家合作,確保自家公司符合各種法律法規(guī)。
4. 非職業(yè)行為
與其他職能角色類似,被炒,也可能源于CISO的非職業(yè)行為,甚至是CISO直屬的下屬的非職業(yè)行為,也會成為CISO被炒的導火索。如果CISO未能糾正不恰當行為,比如性騷擾,就可能導致CISO職業(yè)生涯的終結。
非職業(yè)行為還包括在社交媒體上發(fā)表不恰當言論。CISO是公司里可見度頗高的成員,公開發(fā)表意見需謹慎。CISO發(fā)表的任何爭議性觀點,可能對公司造成負面影響,導致CISO自身被解雇。
5. 系統(tǒng)恢復時間
時間就是金錢。系統(tǒng)、網(wǎng)絡和設備連接會受到宕機的影響。如果宕機時間持續(xù)很久,損失的金錢會是天文數(shù)字。宕機會造成業(yè)務中斷、降低員工生產力,對公司業(yè)務合作伙伴、客戶和供應商產生負面影響。
任何持續(xù)較久的安全故障,同時也是公關噩夢和對公司信譽的重大打擊,會造成業(yè)務流失??捎眯耘c正常在線時間,應受到全面細致的備份和災難恢復計劃支持,該計劃還包括有內部運營水平協(xié)議,指定了任何服務中斷發(fā)生時的一系列指令。
每家公司都應有災難恢復計劃,包含有供應商、云和第三方服務提供商的聯(lián)系人詳細信息。在供應商、云和第三方服務提供商響應、遏制安全事件并追蹤黑客的時間上,合同中有何規(guī)定,也是CISO應該知道的內容。