过去和未来:CISO成功的5个阶段

最新推荐文章于 2024-06-26 14:18:16 发布
最新推荐文章于 2024-06-26 14:18:16 发布
阅读量133 收藏
点赞数

在网络安全领域,就像在历史上一样,忘记过去教训的安全领导人注定会重蹈覆辙。对于那些在雇佣第一或第二CISO组织中工作的人来说,首席信息安全官(CISO)的角色看起来相对较新。然而,史蒂夫•卡茨(Steve Katz)被聘为花旗银行(Citibank)首位首席信息安全官已经快25年了。虽然现在很少有组织会说,一个组织不需要有人对网络安全项目负责,但各个组织的角色各不相同。

该职位可设于执行级别(即执行或高级副总裁的角色),中层管理角色(董事/经理),或可能是一个小组织中与其他系统管理活动相结合的个人角色。用杜鲁门(Harry Truman)的话来说,要想在今天取得成功,CISO应该知道的是,世界上唯一的新事物就是你不知道的历史。

我相信,过去的经验告诉我们,CISO的发展经历了五个不同的阶段,最终取得了网络安全方面的成功。根据当时的事件,每个阶段都有不同的关注点,如下图所示。

图片来源:Todd Fitzgerald

CISO第1阶段:有限安全阶段(2000年以前)

各组织在这一阶段获得了资产,但却没有我们今天所具有的管理水平和董事会意识。该功能通常隐藏在数据中心中,主要功能是为文件提供登录访问和授权。因此,这个功能主要是一个面向技术的功能。

2019年CISO咨询:对于CISO的成功,技术技能仍然是必要的,但还不够。重点应该是跨整个基础架构的技术知识的广度,而不是特定技术的深度。

CISO第2阶段:监管合规(2000-2004)

这一阶段通过了大量涉及医疗、政府和金融部门隐私和安全的新法律。正是在这一时期,许多组织产生了对“信息安全官”的要求,即今天的CISO。与互联网的连接和对数据泄露的主流意识正在发生。公司资源被调动起来“勾选”安全遵从性,通常遵守ISO27001/2或COBIT定义的一组控制。

2019年CISO咨询:法律是不断变化的,CISO需要了解影响组织的法律,以及遵守各种法律所需的控制之间的差异。成功的CISO将整合这些需求,并将实施项目联系起来,以满足多种法律,从而减少组织变更管理的中断。

CISO第三阶段:风险导向的CISO (2004-2008)

“勾选”遵从阶段没有达到预期,因为组织无法平等地保护所有信息。转向基于风险的方法有助于将资金分配到更关键的资产,以及更好地使用人员、流程和技术。这也为企业的风险管理提供了支持,并使信息安全风险与其他组织风险的对话成为可能。

2019年CISO咨询:CISO必须始终从概率和影响的角度考虑控制,认识到组织可以选择接受、减轻、转移或避免风险。这些风险策略必须得到管理层的明确定义和明确批准。

CISO第四阶段:基于社交移动云的威胁感知CISO (2008-2016)

就在CISO着手应对风险的时候,一些新技术得到了实施,比如大规模引入社交媒体,每个人的口袋里都有一部智能手机,技术的消费化,以及向云计算的迁移。这一切都发生在不到十年的时间里,CISO不得不做出调整。CISO不能说,“不,这项技术太冒险了。”

2019年CISO咨询:今天的技术环境将在未来5至10年内发生重大变化。人工智能、物联网、托管安全服务提供商外包、机器学习、量子计算、区块链、移动应用、管理第三方供应商关系,以及管理这些组件的不同方法将会出现,而CISO将需要保持领先才能适应这些变化。

CISO第五阶段:隐私与数据感知CISO (2016 - 2020)

几起涉及个人信息泄露的重大事件使大家更加关注隐私。GDPR于2018年5月生效,通过引入高达年度营业额收入4%的巨额罚款,提高了数据保护的可见度。到目前为止,组织通常在非结构化数据的管理和保留,以及企业所有权和对组织内结构化信息的访问方面存在缺陷。

2019年CISO咨询:CISO必须了解关键信息资产,它们被保存在哪里,用于什么目的,以及保存多长时间。CISO不仅要了解安全实践,还要了解隐私法律和概念。CISO必须知道数据在哪里,数据如何在组织中流动,以及如何保护数据。在发生泄漏的情况下,此信息对于事件响应团队至关重要。

未来我们还有很长的路要走,我们要教育员工在网络安全方面发挥自己的作用。正如ISACA和CMMI研究所最近的网络安全研究文化所指出的,在安全团队之外,只有34%的员工充分理解他们在组织所需的网络安全文化中所扮演的角色。

最重要的是,2019年CISO需要了解组织使用和期望的技术广度,符合《条例》通过控制框架评估信息资产风险,扩大安全以外的组织(如云、移动、社交媒体、威胁情报网络)。知道隐私规定会如何影响组织(数据在哪里,如何使用它,以及它是如何被保护的)将是他们的组织和其他人对CISO的要求。

来自 “ https://www.darkreading.com/vulnerabilities---thre ”,原文链接:http://blog.itpub.net/31545812/viewspace-2565268/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/31545812/viewspace-2565268/

cjffl3520
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CISE和CISO两个方向该怎选?
zpedupx_2022的博客
02-02 1101
CISP认证是一个体系,是信息安全类认证,它包含若干个子认证,CISE和CISO则是其中的两个。
这一年,这些书:2022年读书笔记
热门推荐
Heartsuit的博客
12-31 3万+
Note: 以下 `markdown` 格式文本由 `json2md` 自动转换生成,可参考[JSON转Markdown:我把阅读数据从MongoDB中导出转换为.md了](https://blog.csdn.net/u013810234/article/details/113360229)了解具体的转换过程。2022年读书笔记
API 安全策略和基础指南
Explinks的博客
06-26 1075
本文将重点介绍API 安全为何已成为当今企业的重要关注点,以及它与应用程序安全有何不同。
云迁移策略:如何建立专家团队
cxt70571的博客
05-19 266
将一些应用程序迁移到云中并每天进行调用是一回事。 发起一个涵盖了IT环境几乎所有方面的主要云计算迁移,完全是另一回事。 云迁移团队的每个成员也都必须成为啦啦队长。 随着组织寻求以云为策略的核心进行数字化转型,后者正变得越来越普遍。 通过混合,多云方法,公司不仅可以将这些服务用于最终用户应用程序,还可以在存储,开发,安全性和其他领域利用这些服务。 研究公司Gartner在2019年...
谷歌原数据保护团队技术主管:零信任实践分享
企业安全
09-02 2万+
本文作者2015至2020年有幸参与了谷歌生产环境零信任(Zero Trust in Production Environments)的理论和实践。在此背景下开发的Binary Authorization for Borg(BAB) 系统已经在谷歌生产环境中实现了全面覆盖:任何人在生产环境中以任何服务的身份运行任何软件包之前,都必须为目标服务建立一个足够强的BAB安全策略。不符合BAB安全策略的程序将不会被允许以相应服务的身份运行。 在实现和推广这种生产环境零信任的过程中,BAB团队走了不少弯
阿里云肖力:云即信任
阿里云技术
10-28 1390
2005年,杭州文二路的一家不知名企业,迎来了公司成立后的第一名安全工程师,这在那个连“互联网业务”都还有些模糊不清的年代里,无疑是一次略显前卫的决定 安全是什么?为什么需要安全?安全会发生怎样的进化?哪里又需要更多的安全?这些问题,都交代在了那个刚刚入职的年轻工程师身上。 只不过,没人能预想这个年轻人的到来对这家公司来说意味着什么,这家公司又会在日后发展成什么模样,彼时的他和它,都在等待一...
Gartner发布2024年网络安全主要趋势:制定有效网络安全计划必须重视的9大趋势_网络安全有效性验证 gartner
2401_84264610的博客
05-02 1079
第三方不可避免地会遭遇网络安全事件,这迫使 SRM 领导者更多地关注以弹性为导向的投资,并放弃前期的尽职调查活动。积极进取的SRM 领导者正在优先考虑弹性驱动的活动,例如实施补偿控制和加强事件响应计划。与此同时,他们还为业务合作伙伴提供有针对性的支持,以告知第三方签约并影响控制决策。SRM 领导者越来越多地将资源投入到合同前的尽职调查活动中。
天翼云服务器迁移阿里云_云迁移策略:如何建立专家团队
cxt70571的博客
07-06 2895
天翼云服务器迁移阿里云 将一些应用程序迁移到云中并每天进行调用是一回事。 发起一个涵盖了IT环境几乎所有方面的主要云计算迁移完全是另一回事。 云迁移团队的每个成员还都需要成为啦啦队长。 随着组织寻求以云为策略的核心进行数字化转型,后者正变得越来越普遍。 通过混合,多云方法,公司不仅可以将这些服务用于最终用户应用程序,而且还可以用于存储,开发,安全性和其他领域。 研究公司Gartne...
Gartner发布2024年网络安全主要趋势:制定有效网络安全计划必须重视的9大趋势
lurenjia404的博客
01-08 1299
安全和风险管理领导者面临着多个方面的颠覆:技术、组织和人力。准备和务实的执行对于解决这些干扰并提供有效的网络安全计划至关重要。 安全和风险管理 (SRM) 领导者可以通过使用生成人工智能 (GenAI) 与业务利益相关者主动协作,提高安全职能部门的声誉和绩效。这将有助于为这一颠覆性技术的道德、安全和可靠使用奠定基础。 对第三方服务和软件的有效风险管理、增强身份结构的安全性以及对混合数字环境的持续监控的投资可以强化组织的攻击面并增强其弹性。 将安全治理工作与与业务相关的网络安全报告的使用相
通用的C++数据结构代码实现,使用模板
08-26
通用的C++数据结构代码实现,使用模板
ant-design-vue-1.2.2.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
基于Django完成一个企业级的官方网站的制作.zip
最新发布
08-26
基于Django完成一个企业级的官方网站的制作.zip
springboot364高校科研信息管理系统pf.zip
08-26
信息数据从传统到当代,是一直在变革当中,突如其来的互联网让传统的信息管理看到了革命性的曙光,因为传统信息管理从时效性,还是安全性,还是可操作性等各个方面来讲,遇到了互联网时代才发现能补上自古以来的短板,有效的提升管理的效率和业务水平。传统的管理模式,时间越久管理的内容越多,也需要更多的人来对数据进行整理,并且数据的汇总查询方面效率也是极其的低下,并且数据安全方面永远不会保证安全性能。结合数据内容管理的种种缺点,在互联网时代都可以得到有效的补充。结合先进的互联网技术,开发符合需求的软件,让数据内容管理不管是从录入的及时性,查看的及时性还是汇总分析的及时性,都能让正确率达到最高,管理更加的科学和便捷。本次开发的高校科研信息管理系统实现了操作日志管理、字典管理、反馈管理、公告管理、科研成果管理、科研项目管理、通知管理、学术活动管理、学院部门管理、科研人员管理、管理员管理等功能。系统用到了关系型数据库中王者MySql作为系统的数据库,有效的对数据进行安全的存储,有效的备份,对数据可靠性方面得到了保证。并且程序也具备程序需求的所有功能,使得操作性还是安全性都大大提高,让高校科研信息管理系统更能从理念走到现实,确确实实的让人们提升信息处理效率。
springboot363高校竞赛管理系统--pf.zip
08-26
高校竞赛管理系统管理系统按照操作主体分为管理员和用户。管理员的功能包括字典管理、论坛管理、竞赛公告管理、获奖管理、老师管理、评审管理、评审分配管理、评审打分管理、赛事管理、赛事提交管理、赛事报名管理、用户管理、专家管理、管理员管理。用户的功能等。该系统采用了Mysql数据库,Java语言,Spring Boot框架等技术进行编程实现。 高校竞赛管理系统管理系统可以提高高校竞赛管理系统信息管理问题的解决效率,优化高校竞赛管理系统信息处理流程,保证高校竞赛管理系统信息数据的安全,它是一个非常可靠,非常安全的应用程序。
ssm455重庆理工大学心理咨询管理子系统的分析与实现+jsp.zip
08-26
重庆理工大学心理咨询管理子系统主要是为学生提供心理咨询服务,该系统实现的功能包括学生基本信息管理,教师基本信息管理、队列查询、咨询预约,咨询报告等。
基于Django+Bootstrap框架,设计微型小说网站.zip
08-26
基于Django+Bootstrap框架,设计微型小说网站.zip
租房平台源码 (优秀毕业设计源码)
08-26
1. 租房平台代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:java,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
springboot362在线租房和招聘平台pf.zip
08-26
在线租房和招聘平台管理系统按照操作主体分为管理员和用户。管理员的功能包括字典管理、房东管理、房屋管理、房屋收藏管理、房屋评价管理、房屋订单管理、论坛管理、平台资讯管理、企业管理、简历管理、简历投递管理、用户管理、职位招聘管理、职位收藏管理、职位留言管理、管理员管理。用户的功能等。该系统采用了Mysql数据库,Java语言,Spring Boot框架等技术进行编程实现。 在线租房和招聘平台管理系统可以提高在线租房和招聘平台信息管理问题的解决效率,优化在线租房和招聘平台信息处理流程,保证在线租房和招聘平台信息数据的安全,它是一个非常可靠,非常安全的应用程序。
克服障碍:CISO如何推动数据安全治理的业务价值
为解决这一问题,CISO需要学会用业务语言解释安全风险,展示如何通过强化数据安全来降低业务风险,并促进业务成功。 报告提出了四步关键策略来加速数据安全治理的采纳: 1. 与业务部门建立伙伴关系:CISO应该与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值