CISO(首席信息安全官)的作用是为企业提供总体安全路线图,而其中至关重要的部分是保护网络安全。网络是企业IT部门管理的所有应用程序和数据的基础,这也使其成为部署安全防护工具的主要目标。
CISO必须了解企业计划如何利用数据网络。基于这些信息,CISO可以创建一个安全框架,使企业能够以最低的风险执行所需的任务。尽管CISO不会负责部署安全框架中列出的实际网络安全技术,但是如果CISO拥有IT网络或网络部署方面的技术背景,则更有利于安全计划的实施。
同时,CISO还需要一定的软技能,以帮助将安全策略和信息传达给企业员工、承包商等。沟通技巧也会使具有这些职责的安全主管受益。例如,CISO必须经常向缺乏技术背景的公司主管说明数据安全的重要性以及如何部署数据安全流程。
对于在当前生产网络中,哪些可以实现以及哪些不能实现,CISO必须能够提出可理解的事实。这就要求CISO深入了解整体业务需求,以及这些需求与IT网络及其相关基础架构的关系。CISO的重要职责是确保数字资产的安全。由于网络几乎是任何IT相关项目的一部分,因此CISO必须不断向企业高管和利益相关方解释网络安全的工作原理。同时,当网络发生任何重大变更时,CISO都需要了解进展,以便建立流程以确保这些更新的实施。
最后,CISO还需要帮助应对适用于公司垂直行业的各种合规性法律。网络安全团队必须遵守这些法律,特别是当在网络上传输或存储敏感的客户、患者或合作伙伴数据时。CISO必须参与这部分工作,以确认需要遵守法规的网络部分。CISO需要负责验证,当这些敏感数据通过网络传输时是否部署有适当的数据保护机制。