在推动安全进步方面,谁的影响力最大?

风险所有人必须带头将安全作为所有人的优先事项

作家,CSO |

根据组织的规模,对推动安全进步影响最大的人可能是C级或董事会成员,但可能是非执行管理员,有时IT/security show中的一人就是铺平道路的人。

不管是谁,每个企业都需要一个不仅能将安全性作为预算项目,而且能将其作为整体文化一部分的人。然而,很多时候,组织出于以下两个原因之一优先考虑安全性。

Rapid7负责信息安全的副总裁Josh Feinblum表示:“关心安全的公司要么拥有一支认为安全很重要的进步型领导团队,要么是一家经历过重大事件的公司。”

这就是为什么在许多情况下,没有一个人比一个事件更能产生影响。虽然大多数高管希望潮流正在改变,“但目前的状态更为被动,”费恩布卢姆说。

确实有一些公司专注于确保没有灾难或监管驱动因素,但他继续说,“这通常是因为他们有其他公司要求这样做。”

因此,安全团队在很长一段时间内都在鼓吹某种进步,这种情况更为常见。Feinblum说:“最大的问题之一是[双因素身份验证]到位。不是在防火墙上,而是在数据中心内设计的所有内部系统上。”。雷竞技电脑网站

此外,网络分割和补丁或漏洞管理也存在很多问题,他说。

有时候是外部力量而不是内部力量推动了组织的安全进步,特别是通过合并和收购。Feinblum表示:“他们可能会说,只有在未来6个月内解决这个问题,我们才会做这笔交易。”

Darrell Drystek, ISSA高级成员,ISACA董事会成员

在一个组织内部,真正相信并重视安全的执行团队具有最大的影响力。Feinblum说,如果不这样做,“你就是在打一场硬仗。如果他们认为它不重要,它就会被取消优先级。”

为了推动任何业务中的安全进步,需要有一个代表安全的务实和强有力的声音,一个CISO或高级安全人员。费恩布卢姆说:“精明的领导团队真的试图不去担心复选框。他们在问坏人是如何运作的,我们需要什么来打乱他们。”。

因此,小型组织面临更大的挑战。Tycoon的首席技术官Travis Rosiek说:“他们人手不足,预算也非常少。通常情况下,他们一边做IT工作,一边做安全工作。保持电力供应和系统正常运行是当务之急。”

由于只有一个人同时负责IT和安全事务,他们几乎不可能在降低所有风险所需的各个方面拥有深厚的专业知识。

“小公司高管的工作就是为预算而战。安全只是IT预算的一小部分。IT规模很小,其中的一小部分用于安全并不能给你带来多大好处。”

但小公司在某些方面确实有优势。他说:“资讯科技和保安团队通常都是相互依赖的强大团队。当出现危机或可疑事件时,他们习惯于团结在一起,合作得非常好。”

随着越来越多的公司开始明白,每个人都是目标,董事会也变得更加参与其中。“仍然有很多组织认为这些威胁针对的是不同的企业,而不是他们,”Rosiek说。

那些更成熟的进步型组织将有一个具有真正知名度的CISO或CIO。罗西克说:“从成熟的角度来看,当CISO直接向首席信息官汇报,并有董事会的听众时,这些组织肯定会优先考虑安全问题。”

另一方面,如果CISO的级别降低了三到四级,并且没有可见性,那么他们就面临着获得预算批准的巨大挑战。这就是为什么想要在任何公司真正推动安全进步的人都需要直接与风险所有者沟通。

Darrell Drystek说:“无论你面对的是财富500强企业、中等规模企业还是普通企业,风险所有者都必须确定可接受或可容忍的风险。
ISSA高级会员,ISACA董事会成员,DDDrystek Consulting的所有者。

人们想要有安全感,但很少有人真正想要考虑安全感。“作为安全人员,我们必须让事情变得简单。教他们数据的价值是什么,”Drystek说。

[同样是关于cso:在安全预算紧张的情况下,哪里可以走捷径

Drystek继续说:“在基金方面,大多数业务主管做梦也不会忽视风险,但在数据方面存在脱节。”

这就是为什么需要直接与风险所有者进行沟通。那些明白风险与业务直接相关的企业正在为复杂的安全程序铺平道路。

财富500强公司在进入董事会之前通常有一个非常严格的层级结构。这些正式和非正式通信层通常使安全团队能够将信息送到正确的人手中。

“我看重的是数据质量,包括完整性和可用性。安全风险就是经营风险。合规是一种薄弱的安全形式,它变成了一个保险问题。

“对于中小企业来说,你是在和老板打交道,或者和老板关系非常密切。除非你有合适的人选,否则很难吸引他们的注意。数据质量和保护商业计划是最重要的。

Drystek说,数据丢失和盗窃的最高比例是懒惰和冷漠造成的,“所有这些问题的根本原因是治理失败。这是管理问题,而不是技术问题。管理层必须为组织定下基调。”

这就是为什么在大型企业中,“CISO通常会成为既推动战略又推动预算的人。他们通常都有一个团队。”

谢思表示,在《财富》50强公司中,我们经常看到这样的情况:“首席信息官仍在大力参与,但董事会也在参与。IT成为董事会的一个常规话题。”

当更多的利益相关者参与进来时,“它创造了更多的预算空间和更有力的对话。它迫使每个人都考虑更广泛的问题。如果你是一个供应商,那么有更多的利益相关者需要得到他们的认可,”Sheth说。

谢斯说,最灵活的公司是全球2000强企业,它们发现了可用预算和快速行动能力之间的平衡。

Sheth说:“这些组织的规模恰到好处。他们可以自己快速行动,并跟上市场的发展。他们自己做研究。CISO通过一个更大的团队推动安全进步。”。

无论一家公司的规模有多大,最大的影响来自于其利益相关者的情感认同。因为在推进安全方面需要克服的最大障碍之一是安全与限制有关的观念,安全领导人需要建立关系,以获得这种认同。

这个故事“谁在推动安全进步方面最有影响力?”最初由CSO

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn评论最重要的话题。
相关:

Kacy Zurkus是CSO的特约撰稿人,涵盖各种安全和风险主题。

版权所有©2016 IDG ComRaybet2munications, Inc.

SD-WAN买家指南:向供应商(和您自己)提出的关键问题