CISO的作用在过去五年中从一个安全管理到高级别风险管理中发展。以下是如何以及为何发生的四个视角,以及如何在今天有效地完成工作。
首席信息安全官员的作用不是五年前的作用。根据那些发现自己在角色的人,这不一定是坏事。
它曾经曾经是CSO被过度颂扬IT安全管理员,保留了防火墙,用软件供应商争论拙劣的防病毒签名更新和清洁间谍软件关闭感染笔记本电脑。真实的,这仍然是一些CSO发现自己的角色,但对于大多数人来说,责任已经转移到看大局并设计平衡无法接受的风险的计划。
请参见“什么是CSO,第二部分”,了解CSO作为业务推动者的作用
在理想的世界中,今天的CISO雇用了其他人来处理所有技术任务。当然,问题是你是否可以激励他们做你曾经做的事情或者你会做的事情用优越感来赶走他们.
我们致力于几个当前和前CSO和Cisos - 以及一些与他们合作的分析师 - 看看从他们的有利点改变了什么,并且安全exec今天必须在工作中存活。以下是四个观点。
Eric Cowperthwaite,西雅图普罗维登斯健康与服务的CSO:
关于职位是如何变得更好的:2006年,我是天主教医疗保健部门唯一一个在企业安全组织中担任高管职位的人。我遇到的很多人都是安全部门的主管,不管是传统的企业安全部门还是信息安全部门,他们基本上都是拥有花哨头衔的高级经理,而不是初级到中级的高管。总的来说,只有金融和国防部门不是这样的。事实上,如果你看看谁是安全领域最初的思想领袖,你会发现他们非常强烈地来自这些领域。如今,情况已不再如此。我在天主教医疗保健领域有一些同行,他们都是他们组织的副主席。更重要的是,几乎所有的大公司(财富500强对“大”的定义)都在招聘信息安全或类似职位的副总裁。
更多关于安全领导的演变
安全性在涵盖业务连续性,灾难恢复,信息安全等事物的范围内越来越大,(与IT安全相反,在IT组织范围内的技术控制范围内重点统一),合规性培训和意识,等等。因此,安全从业者长长所说的事情是安全的一部分,我们的组织现在正在寻找我们也可以完成。基本上,CSO / CISO已成为集团的永久部分,坐在决定该公司如何做生意。CSO在业务中引导安全功能,该函数现在被视为业务中的必要功能,而不是将唇部服务提供唇部服务,以防止监管机构,但忽略了其他措施。在我看来,这是一个重要而强大的变化。
关于情况是如何变得更糟的:我认为,人们对谁负责安全以及如何在业务中划分功能缺乏了解。我认为CSO/CISO类型的人公开宣称“每个人都要对安全负责”是对他们自己的一种伤害。我的问题是"那我们为什么需要你"这就好比赛门铁克(Symantec)这样的公司的销售主管说“赛门铁克的每个人都要对创造销售收入负责”。在某种程度上这是正确的,但谁来设定基调、方向和战略呢?全球销售高级副总裁(或者随便什么头衔)。我看到安全从业人员每天都在放弃他们的责任、权力和范围。我认为我看到了那些有技能和能力的人能够领导一个大公司的安全功能和真正做这个工作的人之间的差距。坏人已经变得更聪明了,所以世界范围内对武器的呼吁,本世纪初的网络攻击导致的不再存在。不幸的是,现在的代价要比他们在网站上涂改和发起病毒攻击时高得多。
什么类型的公务员培训课程是今天必须参加的:我将获得商业管理学位。我是通过军队进入这个地区的,我的许多同行和朋友也是通过军队或执法部门进入这个地区的。我真的不知道如何领导企业中的一个部门,了解预算、员工人数、利润、净营业收入、顶线、底线等等。我只知道如何保护东西不受坏人的伤害。在像警察或军队这样的组织中,预算、人数等通常不是掌握在后来成为CSO/CISO类型的人手中。所以,我们学会了如何做工作,但没有学会如何经营企业。从军队退役后,我在我工作的公司里经历了许多困难,学会了如何经营企业。我认为下一代公民社会组织不会有这样的奢侈。
金融机构的旧金山的安全和隐私计划经理Jason Kobus
今天的工作主要是知道如何区分优先级。这可以归结为理解您的业务风险,并运用正确的人员、流程和技术来降低风险。你的C(I)SO计划投资组合应该是一个经过考验的、真实的、稳定的投资组合,加上一点尖端技术,你的直觉告诉你供应商在正确的轨道上。为了避免董事会的嘲笑,精明的C(I)SO必须应用业务基础,如项目管理(产生有形的结果和有效地管理资源)和成本效益分析(证明决策的合理性)。决策应该基于行业研究(Gartner, Forrester),可比性分析(我的同行在做什么?),以及直接参与利益相关者(做你自己的顾问,而不是依赖二手报告)。最后,您需要学习组织行为学和良好的GRC实践,以便在不可避免的来自企业的压力下生存下来,以比您的安全评估更快的速度来评估风险。
Kevin Hamel,VP和CSO在Cocc Inc.
我负责我公司的物理安全,信息安全和MGMT的风险,我肯定会看到从Infosec到风险管理的转变。现在一切都接近了这一观点。监管机构正在推动企业风险管理计划,这些计划包含远远超过Infosec,因此我的角色扩大了。云计算的到来已经为供应商管理实践提供了更多的聚光灯,最值得注意的合同语言(无论您是否使用云计算)。指标获得了很多兴趣。对该领域的兴趣环绕着从员工到行业管理到业务部门管理到董事会级别的所有级别有意义的指标。CO的角色在几年前的CIO / CTO角色遵循与CIO / CTO角度相同的路径。我记得看着角色发展。其他C级别的玩家来实现CIO / CTO可以带到EXEC表的价值,从而使角色成熟到今天的角色。我相信CSO角色在整体上遵循相同的路径,其他C级别的执行将继续学习CSO可以在该角色成熟的情况下给出什么。
哪些改进了,哪些没有?当然,转向企业风险管理的监管压力帮助我扩大了影响范围。不断发生的入侵事件使安全问题成为首要问题。安全在很大程度上被视为成本中心而不是利润中心的事实并没有改变。这将继续控制预算流动。此外,业务的变化步伐也没有改变。安全位置本身在业务流程中充当支持者,这样您就不会延迟进程,这仍然是至关重要的。要想成功,你需要做些什么?显然,这个问题没有简单的答案,人们可以做的事情有很长一串:
- 1.在关键业务流程中嵌入安全性——很难进行清理/追赶。在引入新应用程序时,需要涉及安全问题;合同谈判;新的第三方关系;新技术的基础设施;BCP /博士;战略规划;等等,等等。
- 2.清晰且公开沟通 - 其他群体需要舒适,即安全性在上面的进程中加入值。您必须与您的同龄人沟通到您可以带到桌面的内容。
- 3.度量/报告——安全性将需要能够显示他们的参与带来的积极影响。什么安全指标说明了这一点?你将向每个层次传达什么指标?每个用户需要不同的指标,所以他们会专注于正确的地方。
Ed Bellis是芝加哥一家大型旅游公司的首席信息官
关于角色是否过于限制:我不认为职位本身有限制。当我们在完成所有我们需要做的事情时经历一些挫折时,这与我们在开发、运营等领域的同行没有什么不同。我们的大部分工作都是一个优先级的问题,并直接与其他所有需要完成的工作相竞争。也就是说,CSO/CISO需要在优先级表中占有一席之地(包括可见性和同等权重,这将进入下一个问题)。
关于他的汇报对象:我目前向总法律顾问报告,但过去也向CIO/CTO和COO报告。我不确定这些报告关系中有哪一种比其他关系更好或更差。如上所述,我认为可见性和访问性是作为CISO完成工作的关键。你在高层领导团队、董事会、审计委员会等内部是否有渠道和影响力?很明显,被埋没在技术组织的内部是不会给你这个权限的,而且会让事情变得非常困难。至于向首席财务官、首席技术官或首席运营官报告是好是坏,这在很大程度上取决于担任这些职位的人的资格和个性,而不是组织职位本身。也就是说,如果你最终坐上了这张桌子,你最好能和你周围的人说同样的语言,不要被科技的杂草所淹没。如果你开始不断地和董事会讨论CSRF漏洞的细节,你显然会被推回到技术组织的深处。
阅读更多关于安全领导的内容在CSOonline的安全领导部分。
了解更多关于这个主题的信息
这个故事,“新的CISO:在5年内的角色如何变化”最初是出版的方案 .