過去和未來：CISO成功的5個階段

在網路安全領域，就像在歷史上一樣，忘記過去教訓的安全領導人註定會重蹈覆轍。對於那些在僱傭第一或第二CISO組織中工作的人來說，首席信息安全官(CISO)的角色看起來相對較新。然而，史蒂夫?卡茨(Steve Katz)被聘為花旗銀行(Citibank)首位首席信息安全官已經快25年了。雖然現在很少有組織會說，一個組織不需要有人對網路安全項目負責，但各個組織的角色各不相同。

該職位可設於執行級別(即執行或高級副總裁的角色)，中層管理角色(董事/經理)，或可能是一個小組織中與其他系統管理活動相結合的個人角色。用杜魯門(Harry Truman)的話來說，要想在今天取得成功，CISO應該知道的是，世界上唯一的新事物就是你不知道的歷史。

我相信，過去的經驗告訴我們，CISO的發展經歷了五個不同的階段，最終取得了網路安全方面的成功。根據當時的事件，每個階段都有不同的關注點，如下圖所示。

圖片來源：Todd Fitzgerald

CISO第1階段:有限安全階段(2000年以前)

各組織在這一階段獲得了資產，但卻沒有我們今天所具有的管理水平和董事會意識。該功能通常隱藏在數據中心中，主要功能是為文件提供登錄訪問和授權。因此，這個功能主要是一個面向技術的功能。

2019年CISO諮詢:對於CISO的成功，技術技能仍然是必要的，但還不夠。重點應該是跨整個基礎架構的技術知識的廣度，而不是特定技術的深度。

CISO第2階段:監管合規(2000-2004)

這一階段通過了大量涉及醫療、政府和金融部門隱私和安全的新法律。正是在這一時期，許多組織產生了對「信息安全官」的要求，即今天的CISO。與互聯網的連接和對數據泄露的主流意識正在發生。公司資源被調動起來「勾選」安全遵從性，通常遵守ISO27001/2或COBIT定義的一組控制。

2019年CISO諮詢:法律是不斷變化的，CISO需要了解影響組織的法律，以及遵守各種法律所需的控制之間的差異。成功的CISO將整合這些需求，並將實施項目聯繫起來，以滿足多種法律，從而減少組織變更管理的中斷。

CISO第三階段:風險導向的CISO (2004-2008)

「勾選」遵從階段沒有達到預期，因為組織無法平等地保護所有信息。轉向基於風險的方法有助於將資金分配到更關鍵的資產，以及更好地使用人員、流程和技術。這也為企業的風險管理提供了支持，並使信息安全風險與其他組織風險的對話成為可能。

2019年CISO諮詢:CISO必須始終從概率和影響的角度考慮控制，認識到組織可以選擇接受、減輕、轉移或避免風險。這些風險策略必須得到管理層的明確定義和明確批准。

CISO第四階段:基於社交移動雲的威脅感知CISO (2008-2016)

就在CISO著手應對風險的時候，一些新技術得到了實施，比如大規模引入社交媒體，每個人的口袋裡都有一部智能手機，技術的消費化，以及向雲計算的遷移。這一切都發生在不到十年的時間裡，CISO不得不做出調整。CISO不能說，「不，這項技術太冒險了。」

2019年CISO諮詢:今天的技術環境將在未來5至10年內發生重大變化。人工智慧、物聯網、託管安全服務提供商外包、機器學習、量子計算、區塊鏈、移動應用、管理第三方供應商關係，以及管理這些組件的不同方法將會出現，而CISO將需要保持領先才能適應這些變化。

CISO第五階段:隱私與數據感知CISO (2016 - 2020)

幾起涉及個人信息泄露的重大事件使大家更加關注隱私。GDPR於2018年5月生效，通過引入高達年度營業額收入4%的巨額罰款，提高了數據保護的可見度。到目前為止，組織通常在非結構化數據的管理和保留，以及企業所有權和對組織內結構化信息的訪問方面存在缺陷。

2019年CISO諮詢:CISO必須了解關鍵信息資產，它們被保存在哪裡，用於什麼目的，以及保存多長時間。CISO不僅要了解安全實踐，還要了解隱私法律和概念。CISO必須知道數據在哪裡，數據如何在組織中流動，以及如何保護數據。在發生泄漏的情況下，此信息對於事件響應團隊至關重要。

未來我們還有很長的路要走，我們要教育員工在網路安全方面發揮自己的作用。正如ISACA和CMMI研究所最近的網路安全研究文化所指出的，在安全團隊之外，只有34%的員工充分理解他們在組織所需的網路安全文化中所扮演的角色。

最重要的是，2019年CISO需要了解組織使用和期望的技術廣度,符合《條例》通過控制框架評估信息資產風險,擴大安全以外的組織(如雲、移動、社交媒體、威脅情報網路)。知道隱私規定會如何影響組織(數據在哪裡,如何使用它,以及它是如何被保護的)將是他們的組織和其他人對CISO的要求。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！