在网络安全领域,就像在历史上一样,忘记过去教训的安全领导人注定会重蹈覆辙。对于那些在雇佣第一或第二CISO组织中工作的人来说,首席信息安全官(CISO)的角色看起来相对较新。然而,史蒂夫•卡茨(Steve Katz)被聘为花旗银行(Citibank)首位首席信息安全官已经快25年了。虽然现在很少有组织会说,一个组织不需要有人对网络安全项目负责,但各个组织的角色各不相同。
该职位可设于执行级别(即执行或高级副总裁的角色),中层管理角色(董事/经理),或可能是一个小组织中与其他系统管理活动相结合的个人角色。用杜鲁门(Harry Truman)的话来说,要想在今天取得成功,CISO应该知道的是,世界上唯一的新事物就是你不知道的历史。
我相信,过去的经验告诉我们,CISO的发展经历了五个不同的阶段,最终取得了网络安全方面的成功。根据当时的事件,每个阶段都有不同的关注点,如下图所示。
图片来源:Todd Fitzgerald
CISO第1阶段:有限安全阶段(2000年以前)
各组织在这一阶段获得了资产,但却没有我们今天所具有的管理水平和董事会意识。该功能通常隐藏在数据中心中,主要功能是为文件提供登录访问和授权。因此,这个功能主要是一个面向技术的功能。
2019年CISO咨询:对于CISO的成功,技术技能仍然是必要的,但还不够。重点应该是跨整个基础架构的技术知识的广度,而不是特定技术的深度。
CISO第2阶段:监管合规(2000-2004)
这一阶段通过了大量涉及医疗、政府和金融部门隐私和安全的新法律。正是在这一时期,许多组织产生了对“信息安全官”的要求,即今天的CISO。与互联网的连接和对数据泄露的主流意识正在发生。公司资源被调动起来“勾选”安全遵从性,通常遵守ISO27001/2或COBIT定义的一组控制。
2019年CISO咨询:法律是不断变化的,CISO需要了解影响组织的法律,以及遵守各种法律所需的控制之间的差异。成功的CISO将整合这些需求,并将实施项目联系起来,以满足多种法律,从而减少组织变更管理的中断。
CISO第三阶段:风险导向的CISO (2004-2008)
“勾选”遵从阶段没有达到预期,因为组织无法平等地保护所有信息。转向基于风险的方法有助于将资金分配到更关键的资产,以及更好地使用人员、流程和技术。这也为企业的风险管理提供了支持,并使信息安全风险与其他组织风险的对话成为可能。
2019年CISO咨询:CISO必须始终从概率和影响的角度考虑控制,认识到组织可以选择接受、减轻、转移或避免风险。这些风险策略必须得到管理层的明确定义和明确批准。
CISO第四阶段:基于社交移动云的威胁感知CISO (2008-2016)
就在CISO着手应对风险的时候,一些新技术得到了实施,比如大规模引入社交媒体,每个人的口袋里都有一部智能手机,技术的消费化,以及向云计算的迁移。这一切都发生在不到十年的时间里,CISO不得不做出调整。CISO不能说,“不,这项技术太冒险了。”
2019年CISO咨询:今天的技术环境将在未来5至10年内发生重大变化。人工智能、物联网、托管安全服务提供商外包、机器学习、量子计算、区块链、移动应用、管理第三方供应商关系,以及管理这些组件的不同方法将会出现,而CISO将需要保持领先才能适应这些变化。
CISO第五阶段:隐私与数据感知CISO (2016 - 2020)
几起涉及个人信息泄露的重大事件使大家更加关注隐私。GDPR于2018年5月生效,通过引入高达年度营业额收入4%的巨额罚款,提高了数据保护的可见度。到目前为止,组织通常在非结构化数据的管理和保留,以及企业所有权和对组织内结构化信息的访问方面存在缺陷。
2019年CISO咨询:CISO必须了解关键信息资产,它们被保存在哪里,用于什么目的,以及保存多长时间。CISO不仅要了解安全实践,还要了解隐私法律和概念。CISO必须知道数据在哪里,数据如何在组织中流动,以及如何保护数据。在发生泄漏的情况下,此信息对于事件响应团队至关重要。
未来我们还有很长的路要走,我们要教育员工在网络安全方面发挥自己的作用。正如ISACA和CMMI研究所最近的网络安全研究文化所指出的,在安全团队之外,只有34%的员工充分理解他们在组织所需的网络安全文化中所扮演的角色。
最重要的是,2019年CISO需要了解组织使用和期望的技术广度,符合《条例》通过控制框架评估信息资产风险,扩大安全以外的组织(如云、移动、社交媒体、威胁情报网络)。知道隐私规定会如何影响组织(数据在哪里,如何使用它,以及它是如何被保护的)将是他们的组织和其他人对CISO的要求。
来自 “ https://www.darkreading.com/vulnerabilities---thre ”,原文链接:http://blog.itpub.net/31545812/viewspace-2565268/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/31545812/viewspace-2565268/