談到數(shù)據(jù)泄露，總有人要為之負(fù)責(zé)，要么是CISO，要么是CIO，要么是CEO。如今我們隨隨便便就能回想起來(lái)的大量數(shù)據(jù)泄露案例表明網(wǎng)絡(luò)安全失誤有可能是致命的；重大數(shù)據(jù)泄露摧毀的不僅僅是公司的業(yè)務(wù)，還有公司聲譽(yù)、品牌和未來(lái)。

一旦發(fā)生數(shù)據(jù)泄露，客戶或其他利益相關(guān)者就會(huì)在與該公司打交道時(shí)要謹(jǐn)慎得多；而處理安全合規(guī)事故往往意味著要做出極為艱難的決定。問(wèn)題是：這其中，CISO的位置在哪里？

CISO時(shí)代

盡管如今CISO的風(fēng)險(xiǎn)人盡皆知，無(wú)數(shù)公司企業(yè)越來(lái)越意識(shí)到聘用專人負(fù)責(zé)處理網(wǎng)絡(luò)威脅的價(jià)值——無(wú)論這是因?yàn)樗麄儞碛姓_的信息安全思維，還是因?yàn)楹弦?guī)、風(fēng)險(xiǎn)和監(jiān)管的壓力越來(lái)越大。

過(guò)去幾年里，CISO的角色已經(jīng)超越了其傳統(tǒng)職能和核心任務(wù)，不再只是專攻開(kāi)發(fā)、部署與維護(hù)信息安全項(xiàng)目，以及保護(hù)公司存儲(chǔ)和處理的所有數(shù)據(jù)。如今的CISO角色更加多元和完整，要識(shí)別整個(gè)公司的風(fēng)險(xiǎn)，提升員工對(duì)數(shù)據(jù)泄露影響的認(rèn)知，還要直接向董事會(huì)而不是CIO或CTO報(bào)告，其視野和責(zé)任都增加了。

CISO的基本素質(zhì)

勤奮、細(xì)心和有風(fēng)險(xiǎn)意識(shí)是CISO角色的三個(gè)主要特征。雖然各家公司對(duì)CISO的要求不同，但非常了解公司全局風(fēng)險(xiǎn)是CISO必備素質(zhì)。想要跟上不斷發(fā)展演變的威脅態(tài)勢(shì)，就得持續(xù)管理和維持對(duì)新威脅的識(shí)別和部署好新的規(guī)程。

良好的溝通能力和對(duì)不同受眾的理解能力也是關(guān)鍵，向不懂技術(shù)的董事會(huì)解釋威脅或解決方案沒(méi)用，讓董事會(huì)站在支持網(wǎng)絡(luò)安全工作的一邊才是重點(diǎn)。董事會(huì)想要聽(tīng)到的是經(jīng)濟(jì)影響，CISO不應(yīng)該對(duì)網(wǎng)絡(luò)安全事件的經(jīng)濟(jì)后果避而不談。摒棄不必要的技術(shù)術(shù)語(yǔ)也是CISO應(yīng)具備的一項(xiàng)基本素質(zhì)，因?yàn)槎聲?huì)需要充分了解網(wǎng)絡(luò)風(fēng)險(xiǎn)如今影響重大，需要投以必要的時(shí)間與關(guān)注。

聚焦數(shù)據(jù)而不是網(wǎng)絡(luò)

技術(shù)決策對(duì)公司安全至關(guān)重要。大量攻擊技術(shù)不僅僅能滲透公司網(wǎng)絡(luò)，還會(huì)摧毀公司網(wǎng)絡(luò)。因此，公司企業(yè)必須認(rèn)真思考落腳于數(shù)據(jù)上的信息保障(IA)。只有理解了數(shù)據(jù)泄露的敏感性和風(fēng)險(xiǎn)，CISO才能真正關(guān)注保護(hù)數(shù)據(jù)本身的技術(shù)決策而不僅僅是承載數(shù)據(jù)的網(wǎng)絡(luò)——因?yàn)榫W(wǎng)絡(luò)被入侵時(shí)真正面臨風(fēng)險(xiǎn)的是數(shù)據(jù)，而我們都知道數(shù)據(jù)泄露的后果。

必須要讓公司里各個(gè)角色各司其職。職責(zé)劃分能避免各角色間相互掣肘，推升問(wèn)責(zé)度，減少潛在錯(cuò)誤，避免非必要人員訪問(wèn)網(wǎng)絡(luò)設(shè)備的安全配置。這種職責(zé)上的劃分也需要通過(guò)采用疊加安全狀態(tài)從技術(shù)本身加以實(shí)施，要具備擴(kuò)展到所有自有或非自有網(wǎng)絡(luò)的靈活性和敏捷性，同時(shí)確保網(wǎng)絡(luò)調(diào)整或被黑時(shí)對(duì)安全狀況沒(méi)有任何影響。每個(gè)CISO都應(yīng)深刻理解這一點(diǎn)的重要性。

從上至下

雖然正確的安全思維必須由上而下，實(shí)際上這一思維還需根植到公司內(nèi)所有安全操作中；不僅僅是安全團(tuán)隊(duì)要具備，法律、財(cái)務(wù)甚至市場(chǎng)營(yíng)銷部門都需要有安全思維。保護(hù)整個(gè)公司網(wǎng)絡(luò)安全的責(zé)任落在CISO身上，但網(wǎng)絡(luò)安全失敗的災(zāi)難性風(fēng)險(xiǎn)意味著董事會(huì)應(yīng)充分考慮網(wǎng)絡(luò)安全事宜，將之作為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的首要任務(wù)來(lái)做。

本文轉(zhuǎn)自安全牛，nana

原文鏈接：https://mp.weixin.qq.com/s/zgC4VWymwbkRqqeVYAEEbA