即便组织内部对强安全有了更多了解-高调黑客为增强认知作出了贡献-安全执行官在做保护资料和系统的工作时仍然遇到重大障碍。
高级工商主管和组织底层主管冲突使民间社会组织和CISO创建安全环境更具挑战性,然而它们继续发生
安全与企业执行官间发生的冲突多半是由于当前对风险的哲学分歧所致, Stroz Friedberg副总裁Dave Dalva表示,他曾为数位客户在CISO工作过
以我的经验,第一题是文化冲突,Dalva说高级执行官包括董事会常继续视信息安全或风险管理为IT问题-或更差技术问题-而不是商业问题
许多企业领袖不理解或承认安全风险管理方式与金融风险管理方式相同,
安全从某种程度上常与高层领导团队相冲突, 并补充说 David Barton,CISO安全技术提供商Websense管理风险保护品牌对执行官来说并不总是最顶尖思想,正确正确,因为他们专注于股东回报
David Barton安全技术提供商Websense
CISO面临的挑战是帮助高级执行官理解股东回报与保护品牌和管理企业风险直接相关,
意指教育CEO、CFO、其他高级企业主管和董事会了解安全不足的真实风险Dalva说,“他们需要意识到这是一个企业风险问题”,而不是IT问题建立并强制实施适合该组织的政策和程序容易得多
最近数月高调黑客肯定帮助网络安全提升前沿,
其它冲突来自可用性与安全之间的古老争斗Dalva表示:「我参与信息安全近30年,
高级执行官认为安全程序会使他们计算经历[更难 时,安全执行官工作难度加大 安全团队处理全企业风险更具挑战性安全团队仍应维护企业安全
一位CISO不想识别者表示,在例行审核期间,CEO团队发现除一分CEO外,全组织所有账号都符合密码策略
CISO表示:「我走进他的办公室画一幅图片说明我们的守法状态和潜在负审计发现与密码守法有关”,并指示我通知账号持有者并修复问题。我解释该账号是他的,我需要他修改密码改密码后再也没有问题
方便与安全取舍问题越来越少 多高级执行官, 因为他们现在更了解风险, Jay Leek说,CISOBlackstone集团投资公司下层组织人员 通常会尝试做他们所问到的 安全方面
问题出在中层管理里 Leek表示常为受压力快速高效完成项目者, 并寻找快捷键,例如不使用繁琐密码想获取比实际需要更多数据
Leek表示:「也许他们没有所有这些洞察力[安全风险]或他们感到更强能力/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具/工具我看到他们冒更多风险做得很好教育中级管理, 所以我们今天没有这个问题。”
但不表示Leek永不受挑战安全策略上我不得不进行一些非常艰难的讨论虽不自在 并非最快乐的时光 我至少能活着出来 免被解职
Dalva表示安全如果做得好应该以方便用户方式提供保护公司可部署单点登录等技术,而不是强迫用户对各种系统和应用多密码
安全不必阻碍事情的实现 达尔瓦说并同时提供数据保护
带自备设备问题引起安全与企业执行官冲突
iPad首次发布时 第一批想带他们环游的人 最高级执行官如何安全liek说
Leek安全地说,“每个人都想弄出设备不准备部署”。人民需要这些酷新工具或设备
安全与企业领袖差异的其他来源与预算和人事相关
CFO单方修改IT安全预算并裁剪部分守法规范性项目
CISO表示:「这些预算项目定义合理,历经多次会议解释后,即使是有适当理由,CISO帮助教育高层领导安全趋势、筹资、规范问题等,也至关紧要。”
人与资本等资源使用问题, CISOs与Scos正与有不同驱动力和动机的其他企业领袖竞争,
CISO社区必须同企业领袖合作, 帮助企业领袖理解信息安全支出与其他企业领袖如何安全创建、实施和部署首创相关关系,
由于许多组织持续缺乏经验丰富的安全人员,对人员配置问题存在分歧很可能继续引起争议
高安全咨询师Michael Cook表示:「太多公司很容易分解并大量投资新技术,无法对人进行相应的投资 开发相关过程使用技术 无论是监控 分析 调查 研究或安全程序开发
结果是资本投资严重不足使用库克说公司补偿结构荡然无存 无法找到合适的合格人员 最终要么没有充足的人手 要么雇用不适合安全部作用和需求的人
Cook看到安全主管带人力资源和补偿官回转转取薪幅度增加一两次,但仍未达到市场水平并放弃战斗
并招聘补偿范围内的人,库克表示并探求安全成熟性
故事“为安全而克服固执执行程序”原创由CSO系统 .