超越桌上的赌注:CISO Ian Schneller谈网络安全中不断演变的角色

安全
无数的CISO监管着大型和复杂的企业,这些企业管理着构成安全企业的所有活动,这些活动不仅涉及国防的技术方面。

当Ian Schneller在20世纪90年代初进入职场时,网络安全才刚刚成为企业内部的一项职能,这是一项专门的职能,主要是以技术能力发挥作用,挫败对本企业的攻击,并在某种程度上挫败对客户的攻击。Schneller回忆道:“这就是我们的职责所在,抵御攻击者的持续攻击,保护企业的系统、信息和服务,这是一个非常技术性的角色,在许多情况下,它是从内部工作的人发展而来的,可能是系统管理员,也可能是开发人员,或者是具有非常技术背景的人。”

从那时起,Schneller在安全运营部门一步步晋升,现在担任医疗保健服务企业(HCSC)的CISO。2023年,他成为第一个在Dallas CIO新设立的CISO类别中获得Orbie奖的CISO,这一成就突显了Schneller在创造创新的工作环境和维护整个企业敏感信息和系统的完整性方面的成功。随着他的崛起,他见证了他的领域的演变。到2017年,70%的财富500强企业已经雇佣了CISO,而且这个数字还在不断攀升。

无数的CISO监管着大型和复杂的企业,这些企业管理着构成安全企业的所有活动,这些活动不仅涉及国防的技术方面。

数据支持了Schneller关于CISO角色发生了多大变化的观点,例如,Splunk最近的一项调查观察到,“86%的CISO表示,自从他们开始工作以来,他们的角色发生了很大变化,这几乎是一份不同的工作。”

以下是Schneller认为,在目前的情况下,CISO需要遵守的五个关键原则:

1.认识CISO角色的职责

Schneller说,认识到今天的角色是多么全面,是成为或找到强大的CISO的第一个宗旨。在早期,CISO保护他们的企业和客户就足够了,而且大多数情况下他们可以自己做到这一点。今天,为了保护企业,CISO必须与整个企业的领导者进行协调,在某种意义上,还必须与每一位员工进行协调。

“它不再是一个竖井,”Schneller说,“保护企业只是他们必须具备的能力之一,他们还必须能够招聘人才,倡导网络安全投资,评估收购,保护品牌,并引导合规,而合规已经扩大,简而言之,这是关于成为一名商业领袖的问题。”

2.负责任地增长

Schneller的第二个信条“负责任地增长”反映了应该指导现代CISO的两种态度。“负责任”背后的态度是更加传统和明显的:保护企业,然而,“增长”承认CISO角色的演变,它的责任是实现和推动企业的增长。

Schneller说:“你的企业面临着巨大的压力,需要通过创新来实现增长,这项创新可能是购买并整合一种将为客户服务的新技术,它可能是与你的应用程序开发人员一起自己构建的。无论它是什么,他们都面临着开发它的压力。当战略形成时,CISO需要坐在谈判桌前,理解为什么会有创新在那里,并知道企业将在有或没有你参与的情况下部署它。最糟糕的情况是,你挡住了路。当一个产品准备好了,它也应该是安全的。”

Schneller说,在谈判桌上坐一坐是最起码的。同样重要的是了解企业打算如何发展,并建立合作伙伴关系,以消除孤岛并确保安全不会成为流程中假定的一部分,从而使CISO和其他领导者保持一致。安全变成了文化,因为它是战术的。“当企业准备好部署这一新功能时,它就准备好了,而且它是安全的,因为团队是共同结盟的。”

3.维护你的声誉

Schneller的第三个信条是取得平衡。一方面,保护你的声誉——或者首先建立它——需要透明度,特别是在安全方面。他说,安全已经变得如此重要,以至于它已经成为许多交易的障碍:“我们经常在B-to-B交易中听到这一点,CISO将被要求打电话给客户的CISO或CIO,这样我们就可以就安全问题进行一些实质性的讨论。”

Schneller强调,这也是现代CIO必须能够导航整个企业及其业务活动,而不仅仅是工作的技术方面的原因。“这其中很大一部分是高管在场的观点,能够传达影响,并拥有帮助另一个利益相关者的实际手段,而且你必须能够足够灵活地与销售和法律团队合作,这样你就不会过度承诺。”

另一方面,如果管理不当,透明度可能会对你不利。“现在世界上其他国家都意识到了你的安全能力,这真的是关于理解。首先,透明度可以帮助不好的行为者洞察你的安全姿态。他们可能会设法做到这一点,例如,通过审查你企业的记分卡,如果企业有记分卡并已将其公开提供的话,或者,这些参与者可能对你所在行业通常遵循的协议有所了解。”

Schneller说,无论如何,你都需要知道这些原因,你不能为你没有意识到的东西辩护,首先,你应该知道不良演员可能会把你的企业作为攻击目标的原因,它是不是刚刚赢得了一个备受瞩目的客户?它是不是刚刚跨过了某个重要的流动性里程碑?不要只是勾选安全盒,还需要了解坏人的思考方式。

4.保护你的生态系统

所有这一切背后都有一个重要的事实:贵企业的网络安全不仅依赖于你自己的防御,而且依赖于你生态系统中每个人的防御,特别是考虑到其中许多参与者将至少在一定程度上访问你和你客户的信息。“如果这个生态系统不安全,”Schneller说,“违反你的虚拟或实体法律可能会直接影响你的企业或你的客户。”或许没有比剑桥分析企业的崩溃更好的例子了。到尘埃落定时,Meta已经支付了近60亿美元,这并没有说明他们的非货币损失。直到今天,这一漏洞仍然困扰着他们的品牌。

你如何影响一家不是你经营的企业?“集体防御的概念在这里非常重要,”Schneller说,“你如何在行业、公用事业部门企业内合作,共同协作地提高整个行业的防御能力?”这又一次让人回想起第一支柱,这是CISO必须具备超越工作技术层面的能力的另一个原因。

5.培养你的安全才能

Schneller鼓励他的受众考虑网络人才的需求和供应之间的差距。“读一读任何一种公共媒体,”他说,“尽管数字可能有一点不同,但它们是一致的,因为有几十个,如果不是数十万个公开的网络职位的话。”根据Statista的数据,去年2月,仅在美国就有大约75万个网络职位空缺。根据世界经济论坛的数据,全球这一数字约为350万,根据《网络犯罪》杂志的数据,这种差距预计至少将持续到2025年。正如Schneller指出的那样,这意味着企业将很难吸引网络人才,他们将不得不在非传统领域寻找人才。

有很多吸引安全人才的策略——让薪酬与重要的东西保持一致,确保你有明确的职业发展道路——但所有这些都归结为Schneller强调的一个更广泛的点:品牌。你的企业必须表明,它认真对待网络安全,它将为网络安全人才提供一种文化,在这种文化中,他们可以解决具有挑战性的问题,推进自己的职业生涯,赢得尊重,为企业的成功做出贡献。不要假设网络人才知道你的企业重视这些品质。“如果你在一家大银行,”他说,“人们可能不会认为你是一个发展网络事业的地方,但实际上,他们拥有庞大的网络安全团队。”

首先到哪里去找人才呢?非传统来源是什么?Schneller倾向于两个,首先是军队。“我是老兵招募的铁杆粉丝,退伍军人在网络安全方面拥有很高程度的培训和经验,可以为你的企业做出伟大的贡献。”许多商界领袖称赞退伍军人是员工,像Sophos这样的一些企业甚至运营着自己的退伍军人网络安全项目。仅在2023年,军方就在网络安全项目上投资了112亿美元。

第二个资源是高中、社区和附属大学,这些机构塑造了大量毕业生,他们拥有在网络安全领域出类拔萃所需的所有技能和雄心。Schneller提醒说,更重要的是正确的证书,或者更广泛地说,正确的教育,在它到来之前,你可以帮助塑造并发展你的才华。“我鼓励CISO找到你们当地的大学,并加入他们的顾问委员会,”Schneller说,“设立这门课程,帮助指导学生。“。

一年比一年快,网络安全变得更加复杂和复杂,不好的行为者会发现新的漏洞进行攻击,并使用新的工具进行攻击,因此,CISO的企业将变得更加复杂和复杂,因此CISO只有在很大程度上依靠上述原则才能成功地指导企业。“CISO必须是一位企业领导者,”Schneller说,“他是一位能够驾驭整个企业的高管。”

责任编辑:姜华 来源: 企业网D1Net
相关推荐

2023-11-08 15:01:12

2021-05-07 10:45:37

网络安全网络犯罪黑客

2018-12-04 05:39:52

网络安全安全威胁漏洞

2022-09-30 10:33:39

CISOCIO

2019-12-02 08:18:51

CISO首席信息安全官网络安全

2023-09-25 14:14:27

2024-01-31 11:09:28

网络安全CSCCISO

2020-12-23 10:08:00

数据中心5GJames Young

2023-10-31 00:07:16

2023-12-11 10:06:50

2023-06-12 10:18:07

2023-01-05 11:40:36

2024-07-26 09:00:45

2013-04-27 15:39:03

2022-01-10 14:09:47

供应链安全分析技术网络安全

2020-03-12 15:20:14

网络安全CISO信息安全

2020-02-10 11:08:31

网络安全数字转型疫情

2020-02-17 09:29:01

网络安全疫情病毒

2024-08-02 17:26:43

2022-06-15 10:42:28

网络安全信息安全法律
点赞
收藏

51CTO技术栈公众号