作為IT決策者 CISOs能變得更有效嗎

2020-06-02 15:10:04 編輯：來(lái)源：

導(dǎo)讀首席信息安全官(CISOs)通常是第一個(gè)承擔(dān)責(zé)任時(shí)出現(xiàn)安全漏洞,然而很少管理決策過(guò)程的一部分時(shí),執(zhí)行安全在整個(gè)it基礎(chǔ)設(shè)施——至少這是最近的一項(xiàng)調(diào)查T(mén)hreatTrack安全指示。調(diào)查顯示，在接受調(diào)查的美國(guó)203名高管中，近四分之三的人表達(dá)了對(duì)CISOs領(lǐng)導(dǎo)能力的懷疑。當(dāng)被問(wèn)及CISOs是否應(yīng)該獲得一席之地，是否應(yīng)該成為組織領(lǐng)導(dǎo)團(tuán)隊(duì)的一員時(shí)，74%的高管回答說(shuō):“不?！? 這些受訪者包括首席執(zhí)

首席信息安全官(CISOs)通常是第一個(gè)承擔(dān)責(zé)任時(shí)出現(xiàn)安全漏洞,然而很少管理決策過(guò)程的一部分時(shí),執(zhí)行安全在整個(gè)it基礎(chǔ)設(shè)施——至少這是最近的一項(xiàng)調(diào)查T(mén)hreatTrack安全指示。

調(diào)查顯示，在接受調(diào)查的美國(guó)203名高管中，近四分之三的人表達(dá)了對(duì)CISOs領(lǐng)導(dǎo)能力的懷疑。當(dāng)被問(wèn)及CISOs是否應(yīng)該獲得一席之地，是否應(yīng)該成為組織領(lǐng)導(dǎo)團(tuán)隊(duì)的一員時(shí)，74%的高管回答說(shuō):“不?！?/p>

這些受訪者包括首席執(zhí)行官、總裁、首席信息官、首席運(yùn)營(yíng)官、首席財(cái)務(wù)官以及為公司提供高級(jí)法律顧問(wèn)的人員。

報(bào)告還指出，高管們有一種先入之見(jiàn)，認(rèn)為CISO經(jīng)常是安全漏洞之后的“替罪羊”。令人震驚的是，44%的c級(jí)高管支持這一觀點(diǎn)，他們認(rèn)為CISOs應(yīng)該為“任何組織數(shù)據(jù)泄露”負(fù)責(zé)，而54%的人表示，CISOs不應(yīng)該為網(wǎng)絡(luò)安全采購(gòu)決策負(fù)責(zé)。

簡(jiǎn)而言之，該報(bào)告指出，許多高管認(rèn)為CISOs應(yīng)該為入侵承擔(dān)責(zé)任，但這些高管中有許多人認(rèn)為，CISOs在獲取防止入侵的技術(shù)和資源方面的影響力應(yīng)該有限。對(duì)于那些擔(dān)任CISO角色的人來(lái)說(shuō)，這是一個(gè)令人困擾的難題，這表明CISOs需要在他們的組織中更有發(fā)言權(quán)，并在企業(yè)中執(zhí)行更多的研究、報(bào)告和影響力。

雖然這可能會(huì)使CISO的角色變得不受歡迎，但一個(gè)簡(jiǎn)單的事實(shí)是，如果沒(méi)有執(zhí)行安全策略的責(zé)任，沒(méi)有在企業(yè)的安全決策中發(fā)揮作用的責(zé)任，就不應(yīng)該接受指責(zé)。

認(rèn)為CISO是替罪羊的看法在零售(65%)和醫(yī)療(55%)公司中很流行，這可以讓CISOs得到一些安慰。這表明，這些高管中的大多數(shù)人都明白，這個(gè)角色受到了不公平的指責(zé)。

正是這種觀念讓CISOs在企業(yè)組織中改變了他們的角色，或許為他們提供了彈藥，讓他們成為管理團(tuán)隊(duì)中更有影響力的成員，并直接向ceo報(bào)告，而不是向較低的C級(jí)管理人員報(bào)告。

部分問(wèn)題來(lái)自c級(jí)主管，他們?nèi)匀徽J(rèn)為CISOs是技術(shù)人員，他們最終努力通過(guò)讓技術(shù)妨礙數(shù)據(jù)訪問(wèn)的便利性，從而加大企業(yè)開(kāi)展業(yè)務(wù)的難度。事實(shí)上，CISOs正在尋求保護(hù)知識(shí)產(chǎn)權(quán)和該組織的運(yùn)作免受使用安全技術(shù)的入侵。CISOs需要向整個(gè)管理團(tuán)隊(duì)說(shuō)明的一個(gè)重要區(qū)別。

可以說(shuō)，實(shí)現(xiàn)這一點(diǎn)的最佳工具是以頻繁報(bào)告的形式出現(xiàn)的，報(bào)告顯示入侵嘗試已被阻止，安全問(wèn)題已得到解決，以及總體威脅情況。幸運(yùn)的是，市場(chǎng)上的大多數(shù)安全技術(shù)都提供了報(bào)告工具來(lái)實(shí)現(xiàn)這一點(diǎn)，而CISOs應(yīng)該利用這些功能來(lái)讓c級(jí)管理人員敏銳地意識(shí)到組織的安全姿態(tài)，同時(shí)也讓他們的角色在組織中備受關(guān)注。

調(diào)查還要求參與者根據(jù)他們的總體表現(xiàn)對(duì)CISOs進(jìn)行評(píng)分，結(jié)果顯示，大多數(shù)CISOs職位在防止數(shù)據(jù)泄露和復(fù)雜網(wǎng)絡(luò)威脅方面的能力得分為“B”或“C”(72%)。約28%的受訪者還表示，他們的首席信息官做出的決策損害了企業(yè)的利潤(rùn)，這表明這些首席信息官要么沒(méi)有正確履行職責(zé)，要么更有可能沒(méi)有告知高管為保護(hù)資源而做出的決策的價(jià)值。

無(wú)論采取哪種方式，信息系統(tǒng)安全系統(tǒng)都需要加強(qiáng)工作，向執(zhí)行人員通報(bào)對(duì)現(xiàn)代技術(shù)的威脅以及必須采取哪些措施來(lái)保護(hù)這些資源- -這需要作出適當(dāng)?shù)呐?，?jīng)常提出報(bào)告，最重要的是在本組織中提高知名度。

標(biāo)簽： CISOs