未来的CSO

如果安全主管希望他们的职业发展,他们需要什么技能,背景和教育?

企业安全的未来将如何发展?五年左右的计划,角色,技术和政策将是什么样?

预测可能很棘手,尤其是在这种瞬息万变的数字环境中。但是,安全主管的工作之一是不仅要​​跟上最新的发展,而且还要预测接下来会发生什么,以便公司可以准备应对挑战。 公民社会组织 采访了安全主管,了解他们的未来以及他们的学科发展方向。这是他们期望看到的一些主要趋势。

更改安全官员的角色

人力资源,工资,税收和福利管理服务提供商ADP的CSO Roland Cloutier说,物理和网络安全将继续融合,这将影响安全主管的角色。

[在CISO不断变化的角色中]

“物理调查和网络安全功能的管理(问题)是如此相互关联,以至于只有一个具有适当透明度和监督功能的管理功能才有意义。” Cloutier说。他说:“我们将仍然拥有所有这些[安全]服务领域的全球指标,并且仍然会有服务孤岛。”但是,它们都将由一个部门管理。

“我相信,[公司安全性]世界将是这个领域的领导者,并且已经处于新生阶段,” Cloutier说。 “在过去的几年中,这一直是安全主管的话题,但是现在我们看到大型组织正在朝着这个方向前进。”

Cloutier说,许多公司将合并CSO和CISO职能。但这并不会降低物理安全或网络安全的重要性,而担任该角色的人员将需要成为安全所有方面的专家。

无论这些人拥有什么头衔,重要的因素是所有安全和风险管理都将置于一个屋檐下。 “我们在房子的两边都不会有竞争的安全主管,” Cloutier说。 “您将需要一个人或实体来为组织做出基于风险的决策。”

Cloutier预测,未来的安全领导者将比今天更加倾向于技术。他说:“我们花了很多时间说安全主管需要了解业务或具有领导技能。” “但是,除非您具有令人难以置信的技术知识,否则我认为您无法[扮演]未来的角色。”

同时,安全负责人将需要宣称自己是业务负责人。 “随着高级管理人员继续认识到安全性的重要性,并且它必须是整体业务战略不可或缺的一部分,安全主管必须更多地成为整个企业决策过程的一部分,”洛杉矶县公共卫生局信息安全官Richard Greenberg说。

[HOCO CISO计划以“虚拟” CISO破土动工]

除安全性外,高管还必须精通数据隐私事务。 “隐私和安全之间将会有更多的互动,” FEI Systems的首席安全和隐私官Jason Taule说,FEI Systems为处理行为和精神保健的政府实体提供信息和分析服务。随着越来越多的公司开始使用社交媒体和大数据,个人和专业信息的分离变得越来越困难。他说,这种融合将造成紧张局势,可能导致采取更多的法律行动。

Taule说,公司将需要某个人担任首席隐私官,而这个人可能应该与最高安全官相同,因为保护隐私(无论是雇员还是客户)与保护数据息息相关。

Taule说:“我确实认为安全官员的工作将越来越涉及隐私,因为我们需要确保我们采取的行动不会侵犯数据所有者的权利,尤其是在将有关数据委托给我们进行安全保管的情况下。” “隐私只是风险的另一个问题。安全官员的工作是管理各种风险。”

更改安全部门内的角色

随着组织更加重视云计算,移动技术和大数据等领域,新的安全工作职能将在未来几年出现。

格林伯格说:“随着越来越多的基础架构和解决方案迁移到云中,管理云所需的工作功能将与传统上有所不同。” “随着更多的安全工作迁移到云中,将需要在公司雇用更多的项目经理。”

[CISO向谁报告可能真的很重要]

“我们将看到一些很酷的新名字,例如数据安全科学家和云控制工程师或分析师,” Cloutier说。 “但我们需要定义这些功能的含义,确定它们的优先级并开始寻找人”以填补这些角色。

Cloutier说,在某些情况下,公司会选择将现有职位转换为这些新职能。例如,他们可能重新培训防火墙技术人员以成为云控制工程师。

一些观察者期望看到安全部门本身的角色及其与其他职能的关系发生巨大变化。

“我们将公司安全视为IT安全,[人力资源]安全,设施安全和运营安全之间的合并,” IT安全服务主管兼技术巨头雷神公司副CISO迈克尔·戴利说。

戴利说:“这些将成为公司范围内更大的共享服务功能的一部分,为公司的所有业务提供支持。”

“这是由成本和效率驱动的,而且还受支持这些功能的技术的融合以及由其融合数据系统构建的业务分析所获得的杠杆作用的推动。”

分析与云

随着组织从越来越多的来源中积累大量信息,组织的数据管理和分析功能变得越来越重要。

戴利说:“我们希望通过基于访问社区和企业数据的威胁分析来获得大大提高的预测能力。” “我们还预计,由于改进了行为感知和分析功能,我们的特权用户和内部威胁监控将获得巨大收益。”

商业金融提供商GE Capital Americas的CISO和IT风险负责人James Beeson表示,期望在使用大数据分析的监视,警报和响应功能方面投入大量资金,以大大缩短响应时间。 Beeson说,IT安全将“更多地由行为分析驱动”。

Cloutier说,领先的安全组织“将是信息灵通的组织,不仅可以广泛地了解他们所拥有的安全技术,还可以跨组织的业务功能,交易和应用程序进行广泛地查看。”

“那些深入研究信息[资源]并加以利用,并利用大数据,分析,人工智能和机器学习的人将是最大的赢家。”

[当今安全领域的顶级技能-以及为什么需要它们]

这些组织将更有可能维护其网络的完整性,将对安全趋势有更好的了解,并能够使用实时信息做出与安全相关的决策,Cloutier说。

Cloutier说,基于云的服务将帮助公司管理和使用大数据集。他说,由于一些云服务提供商将在反向恶意软件工程等领域具有专业知识,因此使用这些服务的公司将不需要内部拥有这些技能,从而降低了成本。公司仅需要将恶意软件数据发送给服务提供商,服务提供商将快速查看数据并发送回结果。

“云使我们作为安全从业者能够利用我们的资源来做一些创新的事情,而又不会增加它们,” Cloutier说。他说,尽管大数据,分析和云将帮助组织开展安全工作,但它们本身也会带来新的潜在安全威胁。公司将需要与供应商合作,开发有效的方法来保护存储在本地和云中的大量数据。

更加注重数据保护

Taule说,未来的信息安全将更多地集中在保护数据上,而不是试图在组织周围建立保护性边界,在组织中信息驻留在经常移动的令人眼花of乱的设备上。

Taule说,这种趋势已经开始,随着公司逐渐摆脱建立固定边界以保护自己的概念。 “我们正在努力解决这一问题的唯一方法是重新确定边界,而不是在网络边缘”,而是在无论数据如何访问(无论通过数据访问)生存的地方。他说,台式计算机,笔记本电脑,智能手机,平板电脑,IP电话语音,IP摄像机或任何其他类型的系统。

自带设备和自带任何物品之类的趋势使依靠网络防火墙来防范安全漏洞变得更加困难。

Taule说:“试图在所有疯狂的事物之间设置一个(单一)边界”。一家公司正在努力保护“不再是在网络周围设置边界,而是在数据周围设置边界”。

Taule说,企业将越来越依赖使他们能够识别哪些人应该能够访问哪些类型的数据以及何时访问的技术。由于组织需要知道他们可以相信用户就是他所说的身份,因此在日益移动的环境中,身份验证和授权变得越来越重要。

[公民社会组织未能领导]

Taule说,新兴的数据和活动管理工具将使公司能够建立有关用户的资料并跟踪典型的活动和使用方式。他说,这将帮助他们发现可能表明潜在数据泄露的异常现象,就像今天的信用卡公司一样。他说,桌面虚拟化等技术可以为组织提供对单个设备安全性的更集中控制,这也将有所帮助。

Taule说:“使用虚拟化的一个重要原因是在许多工作站上管理大量图像的挑战。”他说,FEI Systems已经开始部署桌面虚拟化,并且将来会将其提升到一个新的水平。

“从应用程序的角度来看,我们正在与[供应商]合作,通过不断拆除和重建应用程序来维护一个连续安全的计算平台,这样,随着不断恢复环境,任何中毒或后门程序都不会持久化。 ”,Taule说。

从物联网的角度来看,提供安全性的关注只会在未来几年内随着物联网变得越来越现实而增长。

Taule说:“我们将开始在网络上放置冰箱和汽车,因此与传统的计算平台相比,网络将有更多的东西。” “有很多东西可能很多人都不知道已经连接到网络上了,”例如IP摄像机,嵌入式系统和测量设备。 “更糟糕的是,这些设备中也存在漏洞,但是,只要未知的入口点持续存在,这些漏洞通常就会被忽略,并且管理风险的努力只会提供一种错误的安全感。”

政策与执行:更清晰,更严格

专家说,随着安全角色在未来的发展,企业安全策略也将随之发展。

“我认为我们将更加严格地控制对'皇冠上的珠宝'信息的访问,并更加宽松地控制其他所有内容,并且[政策和]强制执行以与此相匹配,”比森说。为此,安全策略将要求仅向“绝对确定”的用户授予对这些关键信息资产的任何访问权限,甚至将受到限制和高度控制,他说。

Cloutier说,未来的安全策略将需要在用户应该如何不应该在线行为以及用户应该如何处理敏感数据和利用安全技术方面更加具体。他说:“我们必须为人们提供更好的指南和用例方案。” “这包括在非常特定的环境中为他们提供操作指导”,例如云服务。

格林伯格说:“由于人们对安全性的意识日益增强,传统媒体对事件进行了大肆宣传,因此不能容忍严重的违规行为。” “目前,[企业]文化决定了如何处理违规和过失,并且公司之间差异很大。”

[信息安全行业仍在努力吸引女性]

一些公司将越来越依赖于分析来帮助执行安全性和合规性。

戴利说:“从历史上看,大多数执行都是基于简单的二进制规则-约翰尼复制了本不应该复制到USB记忆棒的文档。”金融公司已经开发出更复杂的行为分析,以识别可能的欺诈活动。这些更复杂的规则,再加上云计算的强大功能,使策略合规性警报和执行变得更加敏感。”

鲍勃·维奥利诺是一位自由作家和编辑。通过[email protected]与他联系。

版权© 2014 IDG通讯,Inc.