CISO 發揮新業務角色的 5 種方式
Posted: Wed Dec 04, 2024 10:44 am
現今的 CISO 受到來自組織內部和外部多個方面的攻擊。當然,有許多壞人使用新的、更複雜的利用方法來滲透他們的網路。但在內部,他們也受到了批評。
對現代首席資訊安全官的要求有很多:當然,要跟上新技術和保護措施的實施,還要提高員工技能和士氣,最重要的是,要承擔更高的領導形象和責任,以減少整體合規性風險和法律責任。
根據Forrester 最近的安全計劃建議報告,“全世界的目光都集中在 CISO 上,但不是以一種好的方式。現在有一長串因與公司意見不合而被解僱或離開的犧牲品 CISO。”
應對接下來的情況並不容易,但以下是 Forrester 分析中的五個要點,可能有助於確定一些成功之路。
同理心可以在破裂後重建信任
Forrester 分析師 Heidi Shey 在最近一份關於隱私 法國電報手機號碼列表 漏洞對品牌影響的報告中寫道,企業網路持續受到攻擊的後果之一是信任受到侵蝕,尤其是客戶和業務合作夥伴之間的信任。
她建議CISO 對整個營運(包括合作夥伴和供應商生態系統)的網路安全和隱私風險進行嚴格檢查,因為正如她所寫,「強大的隱私監督、實踐和問責結構將成為創建新產品和服務的基礎。
然而,首席資訊安全官還需要具有同理心和透明性,及時發出違規後通知,以了解供應商、合作夥伴和客戶對違規可能造成的損害的擔憂——無論事件最終是誰的錯。
Optiv 首席資訊安全長 Max Shier 表示:“發生違規事件後,人們會傾向於自我保護,因此即使在事件結束後,也應該將資訊保密,這是合乎邏輯的。” “然而,網路安全專業人士,尤其是首席資訊安全官需要確保盡可能多的信息共享,以幫助其他人從該事件中學習。”
廣告
犯錯時要坦誠
重建信任的一部分是,CISO 需要坦白交代,在出現問題時承擔責任,並積極主動地與各個利害關係人合作解決問題。
「對你的主要支持者和高階主管實行徹底的坦誠」是 Forrester 的一項建議。換句話說,提出困難的問題並努力達成共識。
「透明度、理解和保持溝通管道暢通可以幫助整個供應鏈應對沿線出現中斷的事件,」Shier 說。 “這是擁有彈性供應鏈的關鍵,但在活動期間和活動結束後相互幫助也很關鍵,因為供應鏈上下都會產生連鎖反應。”
CISO 無法不關注自己的資料外洩責任:該公司對2023 年全球前 35 名資料外洩事件的詳細分析發現,組織因洩露15 億筆記錄而支付了近26 億美元的罰款,其中近一半的記錄被洩漏。這份名單中包括許多全球最大的電信業者的違規行為。在前 35 起違規事件中,除一起外,所有違規事件都發生在歐盟和美國。
營運透明度:不只是公關
此外,透明度應該成為 CISO 策略的自然組成部分,而不僅僅是在違規後的情況下啟動的內容。正如 Forrester 分析師所指出的,部分動機是合規性。
「監管機構正在推動提高透明度,」他們寫道。 「他們透過採取法律行動的威脅,激勵安全領導者為了客戶和自己的最佳利益而採取行動,從而使事情變得更容易。透明度差會導致違法、違反信任以及持續存在的行為。」換句話說,就是按照你所說的處理你的數據。
在本月稍早發布的另一份報告中,Forrester 的分析師也向安全經理提出了這樣的建議:「不要在混淆或掩蓋程序或產品缺陷的第三方風險評估、保險承保文件或監管合規證明上簽名。
一般來說,CISO 需要「擁有它,認識到問題出在哪裡,並積極主動地解決問題,包括盡可能多的利益相關者,以確保解決根本原因並識別可能被遺漏的任何其他問題,」Shier說。 「現在尤其如此,因為越來越多的首席資訊安全官對可能因公司疏忽或持續存在、已知且未緩解的安全問題而引起的問題承擔個人責任。”
更重視員工技能提升
對現代首席資訊安全官的要求有很多:當然,要跟上新技術和保護措施的實施,還要提高員工技能和士氣,最重要的是,要承擔更高的領導形象和責任,以減少整體合規性風險和法律責任。
根據Forrester 最近的安全計劃建議報告,“全世界的目光都集中在 CISO 上,但不是以一種好的方式。現在有一長串因與公司意見不合而被解僱或離開的犧牲品 CISO。”
應對接下來的情況並不容易,但以下是 Forrester 分析中的五個要點,可能有助於確定一些成功之路。
同理心可以在破裂後重建信任
Forrester 分析師 Heidi Shey 在最近一份關於隱私 法國電報手機號碼列表 漏洞對品牌影響的報告中寫道,企業網路持續受到攻擊的後果之一是信任受到侵蝕,尤其是客戶和業務合作夥伴之間的信任。
她建議CISO 對整個營運(包括合作夥伴和供應商生態系統)的網路安全和隱私風險進行嚴格檢查,因為正如她所寫,「強大的隱私監督、實踐和問責結構將成為創建新產品和服務的基礎。
然而,首席資訊安全官還需要具有同理心和透明性,及時發出違規後通知,以了解供應商、合作夥伴和客戶對違規可能造成的損害的擔憂——無論事件最終是誰的錯。
Optiv 首席資訊安全長 Max Shier 表示:“發生違規事件後,人們會傾向於自我保護,因此即使在事件結束後,也應該將資訊保密,這是合乎邏輯的。” “然而,網路安全專業人士,尤其是首席資訊安全官需要確保盡可能多的信息共享,以幫助其他人從該事件中學習。”
廣告
犯錯時要坦誠
重建信任的一部分是,CISO 需要坦白交代,在出現問題時承擔責任,並積極主動地與各個利害關係人合作解決問題。
「對你的主要支持者和高階主管實行徹底的坦誠」是 Forrester 的一項建議。換句話說,提出困難的問題並努力達成共識。
「透明度、理解和保持溝通管道暢通可以幫助整個供應鏈應對沿線出現中斷的事件,」Shier 說。 “這是擁有彈性供應鏈的關鍵,但在活動期間和活動結束後相互幫助也很關鍵,因為供應鏈上下都會產生連鎖反應。”
CISO 無法不關注自己的資料外洩責任:該公司對2023 年全球前 35 名資料外洩事件的詳細分析發現,組織因洩露15 億筆記錄而支付了近26 億美元的罰款,其中近一半的記錄被洩漏。這份名單中包括許多全球最大的電信業者的違規行為。在前 35 起違規事件中,除一起外,所有違規事件都發生在歐盟和美國。
營運透明度:不只是公關
此外,透明度應該成為 CISO 策略的自然組成部分,而不僅僅是在違規後的情況下啟動的內容。正如 Forrester 分析師所指出的,部分動機是合規性。
「監管機構正在推動提高透明度,」他們寫道。 「他們透過採取法律行動的威脅,激勵安全領導者為了客戶和自己的最佳利益而採取行動,從而使事情變得更容易。透明度差會導致違法、違反信任以及持續存在的行為。」換句話說,就是按照你所說的處理你的數據。
在本月稍早發布的另一份報告中,Forrester 的分析師也向安全經理提出了這樣的建議:「不要在混淆或掩蓋程序或產品缺陷的第三方風險評估、保險承保文件或監管合規證明上簽名。
一般來說,CISO 需要「擁有它,認識到問題出在哪裡,並積極主動地解決問題,包括盡可能多的利益相關者,以確保解決根本原因並識別可能被遺漏的任何其他問題,」Shier說。 「現在尤其如此,因為越來越多的首席資訊安全官對可能因公司疏忽或持續存在、已知且未緩解的安全問題而引起的問題承擔個人責任。”
更重視員工技能提升