CISO的最新职责:建立信任

领先的CISO已经接受了信任作为可交付成果的概念,并且确实将信任作为其整个安全功能的中心主题。

IDG loading= IT领导 [ September 2020 / 公民社会组织 ]" itemprop="contentUrl" />
Seb Ra /盖蒂图片社

CISO 奥马尔·卡瓦嘉(Omar Khawaja)拥有一个优先事项,因为他的公司Highmark Health转移了 全体 到远程工作环境:使工人无论身在何处都能完成工作。

但是为了尽快做到这一点,卡瓦贾建议放松某些控制措施。正如他所说:“我们存在是为了推动业务发展,因此,如果我们阻止业务开展他们需要做的事情,那将毫无意义。”

卡瓦贾的提议看似激烈,但他说,他知道剩下的其他安全层将提供所需的保护。尽管如此,他还是希望他的高级管理人员同事拥有同样的信心。

他们做到了。

副总裁Omar Khawaja&CISO,Highmark Health 奥马尔·卡瓦嘉(Omar Khawaja)

他说:“我必须告诉他们,我们正在放松控制,而答复是,‘如果您进行了分析,并且认为这样做是对的,那么我们会提供支持。”

CISO已经看到 他们的角色发展,从专注于战术部署的管理人员转变为涉及业务战略和风险管理的行政职位。

作为这种发展的一部分,CISO必须在所有利益相关者(客户,合作伙伴,员工,董事会成员和其他管理人员)之间建立起信心,以确保他们及其安全团队在进行网络安全决策时牢记组织的最大利益。

换句话说,CISO必须赢得利益相关者的信任,因为他们可以通过不断变化的时间甚至在特殊情况下,在每个小组开展日常业务时无缝,一致地保护人员,隐私,系统和数据。

“现在一切都颠倒了。没有人能像以前一样工作,那里有很多不适感。因此,作为安全人员,您必须建立这种信任。这是您工作的一部分,也是您得到的报酬。”资深安全主管Gene Fredriksen说,他现在担任国家信用社信息共享的执行总监&分析组织(NCU-ISAO)和Pure IT Credit Union Services的网络安全负责人。

基本要素

CISO赢得信任的能力不仅仅是深奥的讨论或商学院的实践:专家说,这对于任何想要获得成功的CISO都是至关重要的要素,因为它使他或她能够制定所需的政策,程序和技术以确保组织的安全,从而向其他人(包括客户)证明他们与公司的互动是安全的。

迈克尔·D·韦斯伯格 迈克尔·D·韦斯伯格

IT服务公司Garnet River LLC的CISO 迈克尔·D·韦斯伯格说:“如果您不信任,您的动机就会受到质疑。”

他说,首席信息安全官需要得到信任,以便在“他们举手并说‘哇’”到可能危及他们要保护的政策,项目或想法时被听到。韦斯伯格说,信任是使利益相关者停下来并听取CISO建议的原因。

Keri Pearlson博士 Keri Pearlson博士

另一方面,魏索伯格补充说,CISO不能被视为“无处可逃的部门”,因为这些年来已经有很多人认为CISO。他们必须提供解决方案,使组织,其合作伙伴和客户能够执行所需的任务,而又不会使他们承担不可接受的风险。

麻省理工学院斯隆(CAMS)网络安全执行总监Keri Pearlson补充说:“人们信任帮助他们解决问题的同事和同事,他们提供的帮助是正确的。”

赢得信任

密苏里州堪萨斯城马祖马信用合作社(Mazuma Credit Union)的CISO,网络安全女性(WiCyS)的成员莫妮卡·罗(Monica Rowe)在目前的职务乃至整个职业生涯中都采用了这种方法。

莫妮卡·罗 莫妮卡·罗

她说,她致力于在组织的所有层级上建立关系,并就高级管理人员的同事对安全问题进行教育。她解释说:“您希望稍微拉开帷幕,并提供适当级别的详细信息,”她说,这种方法已帮助执行团队了解业务风险方面的安全要求。

结果,她说她的同事们看到“我们都在为共同利益而努力”,这反过来意味着他们相信她为整个组织做出最佳选择,而不仅仅是安全职能的最佳选择。

Rowe看到信任得到回报。她指出自己有能力在2019年获得行政支持,以加强信用合作社的某些安全状况,包括其VPN功能。

她说:“首席执行官批准了这笔资金,因为他相信我,所以他没有质疑我对此的需求。”

执行团队对她认为需要进行改进的评估表示信任,这使得信用合作社可以迅速扩展其远程工作能力,以应对这种流行病,因为升级后的VPN被证明能够处理增加的负载。

她补充说:“信任,使您能够影响那些影响整个业务的决策。”

信任的价值

当前的情况也突显了CISO需要在员工,合作伙伴和消费者之间建立信任,因为他们都经历了与大流行相关的转变,与此同时,他们也看到了更多有关大型网络安全攻击的报告,例如7月 入侵著名的Twitter帐户.

没错:每天人们都在关注。毕马威(KPMG)针对2020年的报告对1,000名美国人进行了调查, 企业数据责任的新要求,并发现87%的人认为数据隐私是一项人权,而91%的人表示公司应带头确立公司的数据责任。

史蒂夫·贝雷兹 史蒂夫·贝雷兹

“人们越来越认识到与他们有业务往来的公司,甚至是与他们没有直接业务往来的公司所持有的数据量。贝恩合伙人史蒂夫·贝雷斯(Steve Berez)说,越来越多的人开始意识到其中所涉及的风险,而不仅仅是收益。&Co.,也是该公司企业技术实践的创始人。 “如此广泛,CISO的工作与信任和建立信任有关,因此要确保提供给公司的数据是安全的。这可能是当今CISO最重要的角色。”

首席执行官已经获得了信息,因为现在大多数人都认为与利益相关者建立和保持信任对于数字时代的成功至关重要。普华永道在其 第21届全球CEO调查 87%的全球CEO正在投资于网络安全,以建立与客户的信任。

普华永道咨询业务负责人肖恩·乔伊斯(Sean Joyce)表示:“随着经济的数字化,我们正在意识到信任的重要性。”他是美国和全球网络安全与隐私业务负责人。

从卖点到社会使命

乔伊斯认为组织维护安全性和隐私的能力是客户以及员工,业务合作伙伴及其领导者的卖点。

肖恩·乔伊斯 肖恩·乔伊斯

他指向自己的在线银行,该银行部署了一项安全功能,该功能最近阻止了他正在进行的一次不寻常的购买活动(桨板远足),同时向他发送了一条短信,询问他是否要银行授权出售。这种功能在市场上与众不同。

他补充说:“这就是CISO所做的,他们正在使用它来区分自己的品牌。”

实际上,普华永道的 2020年数字信任洞察脉动调查结果 将信任列为CISO必须向其组织交付的关键要素之一,建议CISO带来“提高安全性,弹性和信任的富有想象力的方法,同时通过成为网络安全预算的好管家来帮助控制成本。”

随着社会越来越要求这种“数字信任”,CISO可能没有太多选择,而是这样做。

本杰明·赖特 本杰明·赖特

他说:“社会正在通过法律和执行规则,说,‘这是我们希望您满足的复杂要求,如果您不满足这些要求并确保这些东西得到保护,您将受到惩罚。”

加州消费者隐私法于2020年初生效,这就是一个很好的例子,但这并不是唯一的例子。其他州,包括缅因州和内华达州,也有 制定的数据隐私法 还有一些人已经出台了立法。它们遵循欧盟的《通用数据保护条例》(GDPR),于2018年生效。

CISO的新使命

然而,培养数字信任对于许多人而言可能是一场斗争。

毕马威的 企业数据责任的新要求 发现接受调查的消费者中有68%不信任公司以道德的方式出售个人数据,54%不信任公司以道德的方式使用个人数据,53%不信任公司以道德的方式收集个人数据,50%不信任公司以道德的方式使用个人数据不信任公司保护个人数据。

2018年数字化转型指数戴尔技术公司与英特尔和范森·伯恩(Vanson Bourne)合作对来自40多个国家/地区的4,600位商业领袖进行的一项调查发现,有49%的人“担心他们的组织将在5年内不值得信赖”。

咨询公司SideChannel 安全的合伙人兼联合创始人Brian Haugli表示,专家表示,那些担心的组织继续将安全视为提高速度和增长的障碍,因为他们不相信其安全功能与组织的增长相一致。和前CISO。

SideChannel 安全合伙人Brian Haugli 布赖恩·豪格利

结果,他们的CISO通常被排除在早期战略讨论之外,而仅在后期阶段(安全性更难集成)才进入计划。

Haugli说,与此同时,这些相同的CISO可能不准备承担建立信任的任务。他们可能尚未将自己视为业务推动者,关键顾问和战略合作伙伴,但仍将角色视为有关技术监督和实施严格的安全计划。

但是,专家们强调,领先的CISO已将信任这一概念视为可交付成果,并且确实将其作为其整个安全功能的中心主题。

这就是Highmark Health的CISO Khawaja采取的方法。他将信任视为他和他的安全团队所做工作的缩影,并在2019年初他们重写安全计划的使命声明以更好地与公司的战略愿景保持一致时宣布了很多。

旧的使命声明谈到了安全性的三个业务目标:合规性,隐私性和效率。新的愿景声明写道:“我们的愿景是人们明确相信自己的信息是安全的世界。”

版权© 2020 IDG通讯,Inc.