洞察:安全旨在降低風(fēng)險(xiǎn)而不是隔絕風(fēng)險(xiǎn)
責(zé)編:gltian |2020-09-07 14:58:07
企業(yè)戰(zhàn)略集團(tuán)(ESG)最近的一項(xiàng)研究發(fā)現(xiàn),CISO平均任期為2至4年。為什么很多安全專業(yè)人員的任期短暫?原因多種多樣,各家公司的安全職位設(shè)置和要求不同就是原因之一。很多公司企業(yè)面對(duì)不斷發(fā)展變化的安全與風(fēng)險(xiǎn)策略,獲得安全職業(yè)成功的關(guān)鍵競(jìng)爭(zhēng)力自然也隨之變化。十幾年來,CISO角色方面的成功該是什么樣子一直眾說紛紜,這種模糊不清的狀態(tài)常常引發(fā)誤解、錯(cuò)誤期待和職業(yè)倦怠,個(gè)中原因不僅有層出不窮的安全挑戰(zhàn),更是因?yàn)楣旧舷氯狈?duì)CISO職位的清晰定義與期待。
重大數(shù)據(jù)泄露事件曝光、合規(guī)要求公布,以及圍繞數(shù)據(jù)隱私權(quán)的持續(xù)討論,開拓了高管層和董事會(huì)的眼界,凸顯出CISO角色的重要性。很多高管和董事會(huì)成員將網(wǎng)絡(luò)安全投資視為保險(xiǎn)費(fèi),旨在避免數(shù)據(jù)泄露,經(jīng)常對(duì)見諸報(bào)端的重大漏洞或情報(bào)界數(shù)據(jù)泄露反應(yīng)過度。這導(dǎo)致高管和董事會(huì)要求CISO確保公司免遭此類重大數(shù)據(jù)泄露事件侵?jǐn)_,卻忽視了這些事件僅占常見網(wǎng)絡(luò)威脅1%的事實(shí),對(duì)公司更有可能遭遇的常見網(wǎng)絡(luò)攻擊場(chǎng)景缺乏認(rèn)知,更遑論重視抵御這些攻擊所需的防御工作和安全投資了。
明確性的缺乏導(dǎo)致對(duì)CISO角色的誤解和認(rèn)知各異。CISO職位描述因公司規(guī)模、業(yè)務(wù)性質(zhì)、是否上市等因素而異。何謂成功CISO一直是企業(yè)諱莫如深的謎團(tuán)之一。某些公司里,CISO負(fù)責(zé)從企業(yè)風(fēng)險(xiǎn)、合規(guī)、服務(wù)生產(chǎn)到部署的所有內(nèi)容,而且通常要在人手不足、預(yù)算缺乏的情況下履行自身這諸多職責(zé),無論這些業(yè)務(wù)期望多么不同尋常。
有了CISO之后就想百分之百的網(wǎng)絡(luò)安全是不現(xiàn)實(shí)的。他們的職責(zé)應(yīng)是根據(jù)公司的業(yè)務(wù)目標(biāo)、支持資源和運(yùn)營預(yù)算,合理安排公司的安全投資。定義合理、支持良好、執(zhí)行正確的安全項(xiàng)目,旨在最小化業(yè)務(wù)風(fēng)險(xiǎn),而不是實(shí)現(xiàn)零風(fēng)險(xiǎn)。除了負(fù)責(zé)管理公司安全和合規(guī),許多CISO發(fā)現(xiàn)自己還兼顧業(yè)務(wù)開發(fā)、客戶獲取、客戶保留、員工發(fā)展和員工保留的工作。
就CISO職能而言,公司安全意識(shí)培育和職業(yè)發(fā)展是被低估的一個(gè)重要方面。與其他業(yè)務(wù)主管一樣,CISO在人才保留和人才培養(yǎng)方面承受著巨大的壓力。網(wǎng)絡(luò)安全人才供不應(yīng)求,因此安全主管應(yīng)與其員工密切合作,確保人才發(fā)展,從而提高人才保留率。在已經(jīng)資源緊張和預(yù)算有限的公司中,安全人才流失會(huì)加大實(shí)現(xiàn)既定業(yè)務(wù)目標(biāo)的難度,增加CISO所承受的壓力。
現(xiàn)代CISO是否能夠平衡對(duì)自身角色的巨大需求?這諸多要求往往伴隨著高管和董事會(huì)在風(fēng)險(xiǎn)方面缺乏明確協(xié)調(diào)、資源和預(yù)算不足,以及超出風(fēng)險(xiǎn)緩解任務(wù)之外的業(yè)務(wù)壓力。這些都是導(dǎo)致CISO職業(yè)倦怠的主要因素。
安全社區(qū)和業(yè)務(wù)主管必須共同努力,積極塑造CISO角色,并確保CISO取得成功。先從投入時(shí)間了解安全需求開始,然后商定業(yè)務(wù)風(fēng)險(xiǎn)容忍度。一旦確定了風(fēng)險(xiǎn)容忍度,考慮到CISO承受的額外壓力,對(duì)安全項(xiàng)目進(jìn)行資源和資金支持至關(guān)重要。公司的安全目標(biāo)不僅是降低業(yè)務(wù)風(fēng)險(xiǎn),而且要在消除CISO職業(yè)倦怠風(fēng)險(xiǎn)的情況下做到這一點(diǎn)。CISO這一行政職位可是越來越難以招聘和保留了。
ESG研究報(bào)告:
https://www.esg-global.com/hubfs/issa/ESG-ISSA-Research-Report-Abstract-Life-of-Cybersecurity-Professionals-Nov-2017.pdf
來源:數(shù)世咨詢
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!