越来越大的压力让CISO陷入困境,但是当不可避免的事情来临时,他们是否应该承担全部责任呢?
安全供应商 Portnox在一项调查中报告称,77% 的 CISO 表示,他们非常或极度担心在下一次重大数据泄露事件发生时丢掉工作,这引发了人们对 CISO 应如何看待自己在高管层中的价值的质疑。他们会因无法控制的问题而受到惩罚吗?如果数据泄露事件与 CFO 拒绝的预算请求有关,该怎么办?
Moor Insights and Strategy 副总裁兼首席分析师 Will Townsend 表示,调查结果概括了大多数 CISO的感受,而企业是否会在下一次违规事件发生后最终解雇他们,可以说是次要问题。只要 CISO 担心不可避免的解雇,就会影响 CISO的行为。企业想要创造的是一个胆小怕事、犹豫不决的 CISO 吗?
Townsend 表示,企业“迟早都会遭受攻击。组织会聘请 CISO,因为这是他们信奉的‘一人之下,万人之上’的理念。有记录显示,责任最终落在 CISO 身上,这意味着当发生重大攻击时,他们很可能面临丢掉工作的风险。”
但公司文化和高级管理层在网络安全责任方面必须公平和现实,以便 CISO 能够正确履行职责。汤森表示,CISO 向谁汇报工作(通常是 CIO,并向 CFO 进行虚线汇报)也应该处于众所周知的热门位置。
“假设 CISO 已经解决了某些问题,例如确定身份访问系统中存在漏洞,并且 CISO 要求提供预算来实施这些控制措施,但遭到拒绝,”Townsend 说。“这是一项团队运动。整个 C 级管理层都需要承担这一责任。指责 CISO 太容易了,这种心态需要改变。”
“整个 C 级高管都必须参与其中。这在很大程度上取决于预算。人力资源主管、首席财务官和首席信息安全官都必须发挥同等作用,确保实施适当的安全控制措施,”汤森说。“整个 C 级高管的薪酬应该与适当的安全控制措施挂钩。”
Forrester 首席分析师 Jess Burn 的观点则更为严格。她说:“如果 CISO 真的害怕 [在下一次重大入侵发生时被解雇],那么他们就不应该再在那里工作了。”
她说,一位能够管理重大违规事件的优秀 CISO 会立即成为 CISO 招聘领域中非常宝贵的资源。解雇这位高管只会迫使他们投奔你最大的竞争对手。
“对于那些奋力突破这些漏洞的人来说,市场机会很大,”伯恩说。“如果 CISO 在漏洞发生后能很好地管理流程,那么你将会非常抢手。其他公司肯定会想要这种经验。”
CISO 巩固其地位的最佳方式是关注收入、净收入和市场份额。“将承保流程与安全控制结合起来。[高管] 的话语是金钱和收入。提醒他们,客户的第三方风险评估只会越来越难。”换句话说,在这些评估中表现出色是增加客户收入的直接途径。更重要的是,未通过这些评估意味着失去潜在客户。
热门跟贴