在过去15年里,Renee Guttmann一直在财富500强企业领导安全和风险管理项目。Guttmann曾担任Gartner高级研究分析师,她现在仍然是全球信息安全社区的活跃成员,在本文中,她与安全及隐私领域的同行们和供应商们分享了她来之不易的建议和技术指导。
在她非凡的职业生涯中,Guttmann曾分别担任可口可乐公司、时代公司和时代华纳公司(合并后)以及Capital One公司的首席安全架构师、首席信息官(CISO)和副总裁。目前,她是信息安全服务公司Accuvant公司CISO办公室副总裁。CISO的生活到底是怎样的?为此Marcus Ranum采访了Guttmann,询问她应对全球信息安全和隐私项目永无止境的挑战所需要的领导力和核心技能。
MARCUS RANUM:对于信息安全从业人员,CISO位于金字塔的顶端。我们的观念和现实相符吗?我听到了很多人谈论CISO的工作就是‘向董事会呈现数据指标’之类的事情。但你的工作真的是这样吗?你怎么安排你的时间?
RENEE GUTTMANN:对于大多数大型企业,信息安全问题已经上升到应引起董事会关注的层面。这是一个瞬息万变的环境,我们面对着各种恶意动机的群体,从有组织的犯罪、寻求竞争优势的民族国家和公司,到攻击品牌的网络积极分子。
向董事会报告数据指标是非常有必要的,这样可以量化和简化企业及其业主所面临的的风险情况。
但我真正的时间都花在创建、‘沟通’和部署战略,来积极管理企业面临的潜在风险。在你制定好战略并获得主要利益相关者的支持后,如果部署进展顺利的话,向董事会和其他人提供有意义的数据指标成了相对简单的任务。我想说,在信息安全领域工作这么多年,担任几家大公司的首位CISO给我带来令人难以置信的回报。#p#
安全从业人员如何为CISO职位做好准备?你认为成功的CISO需要的核心技能是什么?你如何获取这些技能?
并没有万能的技能。我认识从未在信息安全领域工作过的CISO,并且他们都是优秀的企业领袖。我从事过信息安全领域各个层次的工作,我认为现在最重要的技能是能够将信息安全和风险管理转化为让其他人理解的信息。
安全从业人员需要积极参与更广泛的信息安全社区—分享想法和经验教训。Larry Boosidy将这称为“厚着脸皮地偷”,毕竟利用其他地方的好想法并没有坏处。
当你刚开始你的职业生涯时,与其他杰出的CISO共处一室会很恐怖,但作为一个有抱负的CISO,这可能是你可以做的最重要的事情之一,要知道,与成功的同行在一起绝对没有坏处。
你必须愿意接受新想法、愿意改变以及成为一个变革者。在达尔文的《物种起源》中,我最喜欢的理论之一是:生存下来的不是那些最强壮或最聪明的,而是那些适应力最好的。如果你不适应变化,可能很难成为CISO。
如果企业沦为攻击目标,CISO发挥怎样的作用?如果发生数据泄露事故,你是否需要承担责任?
我们都知道,每当出现网络放缓的情况时,肯定有一个错误配置的安全设备。好啦,我是在开玩笑。我并不喜欢指责的游戏,但我认为,当问题出现在其工作职责内时,CISO需要承担责任。
另一方面是确保在问题发生之前发现风险,CISO需要负责确保企业清楚这个潜在风险,并妥善处理它—即使这意味着失去一些支持。当然,我们有不同的方法来管理风险,包括接受风险。利益相关者需要参与进来,并且,我觉得目标应该不是局限于个人关注的内容。
我有时听到信息安全从业人员谈论说,通过让业务部门对某些工作签字确认来管理风险—如果发生泄漏事故者可以转移责任或保护他们免受谴责。但我觉得这不实际,我也从没有尝试过。你觉得呢?
而且这并没有那么容易。即使一个业务部门领导签字,如果出现重大后果,他们可能会说他们并没有真正理解这个问题。这就是说,信息安全的工作是管理风险,而CISO必须要更加实际。我建议清楚明确各自的职责。
例如:‘我们不会允许网站包含让攻击者可以很容易地从数据库窃取个人数据的漏洞。’同样重要的是,让高层领导支持这些‘职责分配’。并且,最终,人们知道他们不能推出不安全的网站。
还有一个好办法是建立一个跨职能管理团队(包括从业人员和高层领导)来帮助评估和接受信息安全风险。你不希望将每次例外都标记为异常,所以CISO需要帮助这个管理团队来确定政策的合理例外情况。例如,企业可能允许网站存在低风险问题,并计划在90天内解决这些问题。你和你的团队必须实事求是,毕竟没有绝对安全的事情。#p#
你在跨职能方面的经验是什么?你花多少时间与业务部门探讨安全问题或者让你的团队嵌入其他团队?成功的安全部门有时候是顾问和教育工作者,其他时候则是守护者。
我的大部分工作都是全球性的,IT也很分布化。在每种情况下,我都有员工在国外为我工作,有时候他们也报告给区域业务部门。
我们花了很多时间来教育关键利益相关者,以及提高整体员工的意识。我曾告诉IT部门的1000个人,我认为他们是团队的一部分。我的团队需要理解和支持其他人,这对于其他人也同样重要,包括员工和顾问,他们应该了解保护企业信息的重要性。
你知道,当员工知道你是谁时,信息安全项目才可以进展,他们在遇到问题时会打电话给你。这又回到了“无指责的游戏”。作为一名CISO,我宁愿早些知道潜在问题的存在,这样我可以及时解决问题。我告诉人们,‘总有一些小火在燃烧,只是不要让它们烧毁建筑物了。’
你花了多久才进入角色?我总是觉得,随着企业规模的扩大,我们需要花更久的时间来了解正在发生什么——我是个控制狂!你在使用任何特定的方法吗?对于你来说,这是一个程序,还是总是有不同?
在我最开始的前90天工作中,我的一位经理给了我一个礼物:他给了我一本书,教我如何开始我的工作。这本书建议(经理)提出三个问题:什么正在运行?什么需要改进?以及哪里我没有出错?我惊喜地发现这非常管用,这让我能够快速发现信息安全程序成功的区域,以及需要对人员、流程和技术进行调整的区域。
我告诉我的团队,‘完美是成功的大敌’。在我的办公室有一个牌子,上面写着,因为我不知道发生了什么事情,于是我笑了。当你不知道所有答案的时候能够笑,并承认你不知道,这对职业寿命和个人寿命都很重要。顺便说一句,我不知道你是控制狂!
对于‘控制狂’,我的意思是,我必须很清楚事情的发展,否则我会很不舒服。这是很困难的事情,因为我认为这潜在地限制了我能有效工作的范围。当我看着你从事过的职位,让我感到昏乱。从你的职位,你怎么知道在不同层面发生的事情?我的态度是‘信任,但要核查’,并且,在核查部分,我总是缺乏足够的带宽,你如何平衡这一点?
这又回到了管理风险的话题。我并不会使用安全这个词,除非我在谈论我160磅的狗。这也是为什么你需要有一个非常社会化且获得高层支持的战略的原因。我们需要付出很多来获得成功。我也认为,对于扩展信息安全,你需要人员、流程和技术。我很担心过于人工且需要有人花数小时查看细微内容的整治计划。并不是反复说到这一点,但这方面确实会出问题。对于信息安全,我们面对不同水平的问题,你需要专注于对企业很重要的事情。#p#
是否有想要重新来过或第二次机会?
前车之鉴很美好,这个问题的答案是肯定的。首先,我会在我的职业生涯的更早期聘请更多的高校毕业生、退伍人员和实习生,因为他们会给团队带来新视角和信誉。我可以告诉你,从事社交媒体项目的20多岁的年轻人更愿意听到我20多岁员工的信息安全言论,而不是从我这里。其次,我会更多地向系统管理员和员工(出于他们报告可疑活动的工作),还有我的团队、顾问和同行说声“谢谢”。我会利用所有公司提供的机制来认识人员,但这确实需要付出很多,而且你需要庆祝成功,你还需要有指标来展示成功。
最后想说些什么?
作为CISO,重要的是要非常清楚信息安全的发展状况。昨日应有的注意可能恰恰就是明日的疏忽。
我建议信息安全从业人员看看T.J. Hooper案件的裁决,该案件涉及在20世纪30年代,被拖船拖走的两艘驳船在风暴中沉没。驳船所有者起诉这个过失问题,并指出拖船没有正常的天气传送无线电。拖船所有者反驳说,天气传送无线电并不是行业标准。
法官Learned Hand在60 F.2d737(1932年第二巡回法院)裁决,该拖船所有者应承担责任:法院最后必须说公道话;预防措施非常有必要,即使是他们的普遍漠视也不能成为疏忽的借口。
换句话说,如果有一个做法是合理的,但不是普遍的‘习惯’做法,这仍然应该作为标准的量度。只做最少的必要的事情或仅仅遵循法规是不够的。云计算、物联网和移动正在改变一切,我们需要作为一个社区,与我们的供应商(包括新型技术公司)一起开发使我们能够支持企业向前发展的产品和解决方案。