近年来,CISO的角色发展迅速,管理层和董事会不仅希望CISO管理公司的内部风险,还需要确保配备合适的人员和技术来支持各种网络安全计划。
Gartner用三个关键词形容如今的CISO:精疲力竭、过度劳累且永远在线。
▍重新定义CISO的角色
根据Gartner的一项调查,88%的董事会将网络安全视为业务风险,而不仅仅是技术IT问题。13%的受访者设立了由专职董事监督的专门针对网络安全的董事会委员会。
Gartner预测,到2026年,至少50%的C级高管将在其雇佣合同中纳入与网络安全风险相关的绩效要求。
这会影响信息风险决策的及时性和质量,这些决策越来越多地由 IT 或安全视线之外的相关人员做出。随着网络风险的正式责任转移到企业,Gartner认为,必须重新定义网络安全领导者的角色才能取得成功。
Gartner研究总监Sam Olyaei表示:“CISO 的角色必须从处理网络风险的‘实际’责任人转变为负责确保业务领导者具备做出明智的、高质量的信息风险决策所需的能力和知识。”
Gartner 预测,到 2026 年,将有 30% 的大型组织公开分享以网络安全为重点的 ESG 目标,高于 2021 年的不到 2%。
企业将越来越需要展示组织承诺,以减少网络安全事件可能引起的社会问题,例如:客户个人信息的数据泄露;使用网络物理系统的潜在安全问题;在他们的产品中误用和滥用的可能性;以及针对关键基础设施的恶意网络活动等。
从CISO的具体职责来说,他们负责组织的整体安全状况:管理信息安全、网络安全预算以及风险和合规活动,同时还负责向CXO团队的其他成员解释这些复杂的概念。
传统CISO是技术影响者,而现代CISO是业务影响者,负责将网络风险转化为业务风险。
我们将CISO的职责总结为以下三点:
-
安全风险与合规性:CISO的首要任务是安全风险和合规性。这些职责的核心是遵守法规和要求,同时通过主动防御而非简单堆砌安全产品来管理安全风险。一般来说,CISO需要关注三个不同的领域——网络安全法律合规与政府法规、网络安全意识培训和安全性能监控。
-
技术安全运营:CISO还负责监督安全团队的日常技术活动,确保技术安全操作顺利进行并且团队拥有完成工作所需的正确工具和能力。
-
向内部利益相关者报告和传达网络安全绩效:现在高级管理人员和董事会成员更加迫切地需要了解网络安全计划,他们不仅关心公司的风险水平,并且比以往更关注安全支出的投资回报率。因此CISO需要以业务术语传达安全风险、提出解决方案并提供由数据支持的可操作见解。
▍做好准备应对网络犯罪团伙的“甜蜜”攻势
Be prepared for the “sweet” attack
情人节的“惊喜”不一定是鲜花或者礼物,也可能是来自黑客的“浪漫陷阱”。据调查,与一年中的任何其他月份相比,2 月份恶意网站中“情人节”一词的使用增加了 200%。同样,在同一个月内恶意使用“巧克力”一词的人数增加了 500%。
网络攻击者们擅长以员工为目标,并使用勒索等恶意技术绕过公司安全系防御体系并获得对敏感数据的访问权限。
对于频繁的网络钓鱼等恶意攻击,塞讯验证能够为您提供的帮助是模拟包含恶意链接或恶意附件的钓鱼邮件等一系列网络欺诈攻击行为,来验证防御体系的有效性,通过可视化报告帮助企业明确防御体系的短板,并做出相应的调整和准备,降低安全团队处理钓鱼邮件所花费的成本。
▍“惊艳”管理层/董事会
Woo your C-suites & Deepen Board Relationships
无论您和您的上层及董事会是初次合作还是长期伙伴,让他们满意都很重要。
在向他们汇报之前,您首先需要考虑会议的类型。您可能面临的是首次会面、年度规划或是事件驱动等各种类型的会议,每种类型的会议都需要截然不同的演示风格和指标。比如,首次会议中,董事会希望听到的是对于当前安全工作状态的评估:哪些措施是有效的,哪些需要改变,您的目标是什么,以及您需要什么支持来完成它。关键是要表达您对局势的掌控,更重要的是展现您的远见。
其次,您需要考虑如何呈现您想要表达的信息。了解董事会更喜欢什么样的材料风格很重要,您可以通过询问其他上级或同事来收集信息。从实质信息的角度来说,您需要让董事会了解组织的网络安全态势、为什么选择您所做的指标以及它们对业务的意义、人员和预算如何影响这些指标。
此外,您还要学会“威胁”董事会。作为CISO,需要时刻关注各类威胁情报信息。提出威胁是表明您关注公司安全并提高您的信誉的好方法。但是您需要能够向董事会表明这些信息是真实的,并且很有可能对组织产生显著影响。
向董事会报告是一件需要精心准备且反复练习的事情,并且对您的工作有着决定性的影响。塞讯安全度量验证平台通过可视量化报表,为您的报告提供有效的数据和图表支撑,帮助企业优化网络安全支出。
寥寥数语不足以概括,关注公众号【塞讯验证】,回复“董事会”,或扫描底部二维码关注官方客服,我们为您准备了完整版报告指南。
▍向你的安全团队合理“示爱”
Show some love to your security teams
如今,CISO面临的最大挑战之一是在这种脆弱的环境中雇用和留住合适的人才。随着远程和混合工作给员工带来额外压力,公司忠诚度变得非常宝贵。CISO 需要重新审视招聘和建立团队知识库以及开展持续培训。不仅如此,有效的方式还包括通过前沿技术手段,减少重复性简单任务,提高应对威胁的能力,并帮助团队成员提升自身的水平。
CISO比以往任何时候都更加重视与员工的沟通方式,并投资于技术和培训,使他们能够更好地完成工作。至关重要的是,让他们感到自己被赋予权力,并相信自己可以做好自己的工作,而且他们是公司成功不可或缺的一部分。
-
沟通:作为 CIO/CISO,您不仅需要管理人员,还需要管理期望、抱负和创新,比如频繁互动、共享相关信息。重要的是要及时意识到员工的冷漠或倦怠,并建立激励措施以保持个人和团队的积极性。 -
使用前沿技术:鉴于威胁模型的变化和发展速度非常快,行业需要能够更快地将最佳实践、配置和响应策略选择交到安全团队手中的产品。塞讯安全度量验证平台即可帮助您的团队持续评估关键基础设施及应用部署的防御能力,优化防护配置和事件响应流程。 -
投资于培训:从一开始就以持续的方式投资于您的员工。帮助您的员工向优秀的业内人士学习。为团队授之以渔,帮助他们为不断变化的新威胁做好准备。