日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

在過(guò)去15年里，Renee Guttmann一直在財(cái)富500強(qiáng)企業(yè)領(lǐng)導(dǎo)安全和風(fēng)險(xiǎn)管理項(xiàng)目。Guttmann曾擔(dān)任Gartner高級(jí)研究分析師，她現(xiàn)在仍然是全球信息安全社區(qū)的活躍成員，在本文中，她與安全及隱私領(lǐng)域的同行們和供應(yīng)商們分享了她來(lái)之不易的建議和技術(shù)指導(dǎo)。

創(chuàng)新互聯(lián)不只是一家網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司；我們對(duì)營(yíng)銷(xiāo)、技術(shù)、服務(wù)都有自己獨(dú)特見(jiàn)解，公司采取“創(chuàng)意+綜合+營(yíng)銷(xiāo)”一體化的方式為您提供更專(zhuān)業(yè)的服務(wù)！我們經(jīng)歷的每一步也許不一定是最完美的，但每一步都有值得深思的意義。我們珍視每一份信任，關(guān)注我們的成都網(wǎng)站制作、網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)質(zhì)量和服務(wù)品質(zhì)，在得到用戶滿意的同時(shí)，也能得到同行業(yè)的專(zhuān)業(yè)認(rèn)可，能夠?yàn)樾袠I(yè)創(chuàng)新發(fā)展助力。未來(lái)將繼續(xù)專(zhuān)注于技術(shù)創(chuàng)新，服務(wù)升級(jí)，滿足企業(yè)一站式營(yíng)銷(xiāo)型網(wǎng)站建設(shè)需求，讓再小的品牌網(wǎng)站設(shè)計(jì)也能產(chǎn)生價(jià)值！

在她非凡的職業(yè)生涯中，Guttmann曾分別擔(dān)任可口可樂(lè)公司、時(shí)代公司和時(shí)代華納公司(合并后)以及Capital One公司的首席安全架構(gòu)師、首席信息官(CISO)和副總裁。目前，她是信息安全服務(wù)公司Accuvant公司CISO辦公室副總裁。CISO的生活到底是怎樣的?為此Marcus Ranum采訪了Guttmann，詢(xún)問(wèn)她應(yīng)對(duì)全球信息安全和隱私項(xiàng)目永無(wú)止境的挑戰(zhàn)所需要的領(lǐng)導(dǎo)力和核心技能。

MARCUS RANUM：對(duì)于信息安全從業(yè)人員，CISO位于金字塔的頂端。我們的觀念和現(xiàn)實(shí)相符嗎?我聽(tīng)到了很多人談?wù)揅ISO的工作就是‘向董事會(huì)呈現(xiàn)數(shù)據(jù)指標(biāo)’之類(lèi)的事情。但你的工作真的是這樣嗎?你怎么安排你的時(shí)間?

RENEE GUTTMANN：對(duì)于大多數(shù)大型企業(yè)，信息安全問(wèn)題已經(jīng)上升到應(yīng)引起董事會(huì)關(guān)注的層面。這是一個(gè)瞬息萬(wàn)變的環(huán)境，我們面對(duì)著各種惡意動(dòng)機(jī)的群體，從有組織的犯罪、尋求競(jìng)爭(zhēng)優(yōu)勢(shì)的民族國(guó)家和公司，到攻擊品牌的網(wǎng)絡(luò)積極分子。

向董事會(huì)報(bào)告數(shù)據(jù)指標(biāo)是非常有必要的，這樣可以量化和簡(jiǎn)化企業(yè)及其業(yè)主所面臨的的風(fēng)險(xiǎn)情況。

但我真正的時(shí)間都花在創(chuàng)建、‘溝通’和部署戰(zhàn)略，來(lái)積極管理企業(yè)面臨的潛在風(fēng)險(xiǎn)。在你制定好戰(zhàn)略并獲得主要利益相關(guān)者的支持后，如果部署進(jìn)展順利的話，向董事會(huì)和其他人提供有意義的數(shù)據(jù)指標(biāo)成了相對(duì)簡(jiǎn)單的任務(wù)。我想說(shuō)，在信息安全領(lǐng)域工作這么多年，擔(dān)任幾家大公司的首位CISO給我?guī)?lái)令人難以置信的回報(bào)。#p#

安全從業(yè)人員如何為CISO職位做好準(zhǔn)備?你認(rèn)為成功的CISO需要的核心技能是什么?你如何獲取這些技能?

并沒(méi)有萬(wàn)能的技能。我認(rèn)識(shí)從未在信息安全領(lǐng)域工作過(guò)的CISO，并且他們都是優(yōu)秀的企業(yè)領(lǐng)袖。我從事過(guò)信息安全領(lǐng)域各個(gè)層次的工作，我認(rèn)為現(xiàn)在最重要的技能是能夠?qū)⑿畔踩惋L(fēng)險(xiǎn)管理轉(zhuǎn)化為讓其他人理解的信息。

安全從業(yè)人員需要積極參與更廣泛的信息安全社區(qū)—分享想法和經(jīng)驗(yàn)教訓(xùn)。Larry Boosidy將這稱(chēng)為“厚著臉皮地偷”，畢竟利用其他地方的好想法并沒(méi)有壞處。

當(dāng)你剛開(kāi)始你的職業(yè)生涯時(shí)，與其他杰出的CISO共處一室會(huì)很恐怖，但作為一個(gè)有抱負(fù)的CISO，這可能是你可以做的最重要的事情之一，要知道，與成功的同行在一起絕對(duì)沒(méi)有壞處。

你必須愿意接受新想法、愿意改變以及成為一個(gè)變革者。在達(dá)爾文的《物種起源》中，我最喜歡的理論之一是：生存下來(lái)的不是那些最強(qiáng)壯或最聰明的，而是那些適應(yīng)力最好的。如果你不適應(yīng)變化，可能很難成為CISO。

如果企業(yè)淪為攻擊目標(biāo)，CISO發(fā)揮怎樣的作用?如果發(fā)生數(shù)據(jù)泄露事故，你是否需要承擔(dān)責(zé)任?

我們都知道，每當(dāng)出現(xiàn)網(wǎng)絡(luò)放緩的情況時(shí)，肯定有一個(gè)錯(cuò)誤配置的安全設(shè)備。好啦，我是在開(kāi)玩笑。我并不喜歡指責(zé)的游戲，但我認(rèn)為，當(dāng)問(wèn)題出現(xiàn)在其工作職責(zé)內(nèi)時(shí)，CISO需要承擔(dān)責(zé)任。

另一方面是確保在問(wèn)題發(fā)生之前發(fā)現(xiàn)風(fēng)險(xiǎn)，CISO需要負(fù)責(zé)確保企業(yè)清楚這個(gè)潛在風(fēng)險(xiǎn)，并妥善處理它—即使這意味著失去一些支持。當(dāng)然，我們有不同的方法來(lái)管理風(fēng)險(xiǎn)，包括接受風(fēng)險(xiǎn)。利益相關(guān)者需要參與進(jìn)來(lái)，并且，我覺(jué)得目標(biāo)應(yīng)該不是局限于個(gè)人關(guān)注的內(nèi)容。

我有時(shí)聽(tīng)到信息安全從業(yè)人員談?wù)撜f(shuō)，通過(guò)讓業(yè)務(wù)部門(mén)對(duì)某些工作簽字確認(rèn)來(lái)管理風(fēng)險(xiǎn)—如果發(fā)生泄漏事故者可以轉(zhuǎn)移責(zé)任或保護(hù)他們免受譴責(zé)。但我覺(jué)得這不實(shí)際，我也從沒(méi)有嘗試過(guò)。你覺(jué)得呢?

而且這并沒(méi)有那么容易。即使一個(gè)業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)簽字，如果出現(xiàn)重大后果，他們可能會(huì)說(shuō)他們并沒(méi)有真正理解這個(gè)問(wèn)題。這就是說(shuō)，信息安全的工作是管理風(fēng)險(xiǎn)，而CISO必須要更加實(shí)際。我建議清楚明確各自的職責(zé)。

例如：‘我們不會(huì)允許網(wǎng)站包含讓攻擊者可以很容易地從數(shù)據(jù)庫(kù)竊取個(gè)人數(shù)據(jù)的漏洞?！瑯又匾氖?，讓高層領(lǐng)導(dǎo)支持這些‘職責(zé)分配’。并且，最終，人們知道他們不能推出不安全的網(wǎng)站。

還有一個(gè)好辦法是建立一個(gè)跨職能管理團(tuán)隊(duì)(包括從業(yè)人員和高層領(lǐng)導(dǎo))來(lái)幫助評(píng)估和接受信息安全風(fēng)險(xiǎn)。你不希望將每次例外都標(biāo)記為異常，所以CISO需要幫助這個(gè)管理團(tuán)隊(duì)來(lái)確定政策的合理例外情況。例如，企業(yè)可能允許網(wǎng)站存在低風(fēng)險(xiǎn)問(wèn)題，并計(jì)劃在90天內(nèi)解決這些問(wèn)題。你和你的團(tuán)隊(duì)必須實(shí)事求是，畢竟沒(méi)有絕對(duì)安全的事情。#p#

你在跨職能方面的經(jīng)驗(yàn)是什么?你花多少時(shí)間與業(yè)務(wù)部門(mén)探討安全問(wèn)題或者讓你的團(tuán)隊(duì)嵌入其他團(tuán)隊(duì)?成功的安全部門(mén)有時(shí)候是顧問(wèn)和教育工作者，其他時(shí)候則是守護(hù)者。

我的大部分工作都是全球性的，IT也很分布化。在每種情況下，我都有員工在國(guó)外為我工作，有時(shí)候他們也報(bào)告給區(qū)域業(yè)務(wù)部門(mén)。

我們花了很多時(shí)間來(lái)教育關(guān)鍵利益相關(guān)者，以及提高整體員工的意識(shí)。我曾告訴IT部門(mén)的1000個(gè)人，我認(rèn)為他們是團(tuán)隊(duì)的一部分。我的團(tuán)隊(duì)需要理解和支持其他人，這對(duì)于其他人也同樣重要，包括員工和顧問(wèn)，他們應(yīng)該了解保護(hù)企業(yè)信息的重要性。

你知道，當(dāng)員工知道你是誰(shuí)時(shí)，信息安全項(xiàng)目才可以進(jìn)展，他們?cè)谟龅絾?wèn)題時(shí)會(huì)打電話給你。這又回到了“無(wú)指責(zé)的游戲”。作為一名CISO，我寧愿早些知道潛在問(wèn)題的存在，這樣我可以及時(shí)解決問(wèn)題。我告訴人們，‘總有一些小火在燃燒，只是不要讓它們燒毀建筑物了。’

你花了多久才進(jìn)入角色?我總是覺(jué)得，隨著企業(yè)規(guī)模的擴(kuò)大，我們需要花更久的時(shí)間來(lái)了解正在發(fā)生什么——我是個(gè)控制狂!你在使用任何特定的方法嗎?對(duì)于你來(lái)說(shuō)，這是一個(gè)程序，還是總是有不同?

在我最開(kāi)始的前90天工作中，我的一位經(jīng)理給了我一個(gè)禮物：他給了我一本書(shū)，教我如何開(kāi)始我的工作。這本書(shū)建議(經(jīng)理)提出三個(gè)問(wèn)題：什么正在運(yùn)行?什么需要改進(jìn)?以及哪里我沒(méi)有出錯(cuò)?我驚喜地發(fā)現(xiàn)這非常管用，這讓我能夠快速發(fā)現(xiàn)信息安全程序成功的區(qū)域，以及需要對(duì)人員、流程和技術(shù)進(jìn)行調(diào)整的區(qū)域。

我告訴我的團(tuán)隊(duì)，‘完美是成功的大敵’。在我的辦公室有一個(gè)牌子，上面寫(xiě)著，因?yàn)槲也恢腊l(fā)生了什么事情，于是我笑了。當(dāng)你不知道所有答案的時(shí)候能夠笑，并承認(rèn)你不知道，這對(duì)職業(yè)壽命和個(gè)人壽命都很重要。順便說(shuō)一句，我不知道你是控制狂!

對(duì)于‘控制狂’，我的意思是，我必須很清楚事情的發(fā)展，否則我會(huì)很不舒服。這是很困難的事情，因?yàn)槲艺J(rèn)為這潛在地限制了我能有效工作的范圍。當(dāng)我看著你從事過(guò)的職位，讓我感到昏亂。從你的職位，你怎么知道在不同層面發(fā)生的事情?我的態(tài)度是‘信任，但要核查’，并且，在核查部分，我總是缺乏足夠的帶寬，你如何平衡這一點(diǎn)?

這又回到了管理風(fēng)險(xiǎn)的話題。我并不會(huì)使用安全這個(gè)詞，除非我在談?wù)撐?60磅的狗。這也是為什么你需要有一個(gè)非常社會(huì)化且獲得高層支持的戰(zhàn)略的原因。我們需要付出很多來(lái)獲得成功。我也認(rèn)為，對(duì)于擴(kuò)展信息安全，你需要人員、流程和技術(shù)。我很擔(dān)心過(guò)于人工且需要有人花數(shù)小時(shí)查看細(xì)微內(nèi)容的整治計(jì)劃。并不是反復(fù)說(shuō)到這一點(diǎn)，但這方面確實(shí)會(huì)出問(wèn)題。對(duì)于信息安全，我們面對(duì)不同水平的問(wèn)題，你需要專(zhuān)注于對(duì)企業(yè)很重要的事情。#p#

是否有想要重新來(lái)過(guò)或第二次機(jī)會(huì)?

前車(chē)之鑒很美好，這個(gè)問(wèn)題的答案是肯定的。首先，我會(huì)在我的職業(yè)生涯的更早期聘請(qǐng)更多的高校畢業(yè)生、退伍人員和實(shí)習(xí)生，因?yàn)樗麄儠?huì)給團(tuán)隊(duì)帶來(lái)新視角和信譽(yù)。我可以告訴你，從事社交媒體項(xiàng)目的20多歲的年輕人更愿意聽(tīng)到我20多歲員工的信息安全言論，而不是從我這里。其次，我會(huì)更多地向系統(tǒng)管理員和員工(出于他們報(bào)告可疑活動(dòng)的工作)，還有我的團(tuán)隊(duì)、顧問(wèn)和同行說(shuō)聲“謝謝”。我會(huì)利用所有公司提供的機(jī)制來(lái)認(rèn)識(shí)人員，但這確實(shí)需要付出很多，而且你需要慶祝成功，你還需要有指標(biāo)來(lái)展示成功。

最后想說(shuō)些什么?

作為CISO，重要的是要非常清楚信息安全的發(fā)展?fàn)顩r。昨日應(yīng)有的注意可能恰恰就是明日的疏忽。

我建議信息安全從業(yè)人員看看T.J. Hooper案件的裁決，該案件涉及在20世紀(jì)30年代，被拖船拖走的兩艘駁船在風(fēng)暴中沉沒(méi)。駁船所有者起訴這個(gè)過(guò)失問(wèn)題，并指出拖船沒(méi)有正常的天氣傳送無(wú)線電。拖船所有者反駁說(shuō)，天氣傳送無(wú)線電并不是行業(yè)標(biāo)準(zhǔn)。

法官Learned Hand在60 F.2d737(1932年第二巡回法院)裁決，該拖船所有者應(yīng)承擔(dān)責(zé)任：法院最后必須說(shuō)公道話;預(yù)防措施非常有必要，即使是他們的普遍漠視也不能成為疏忽的借口。

換句話說(shuō)，如果有一個(gè)做法是合理的，但不是普遍的‘習(xí)慣’做法，這仍然應(yīng)該作為標(biāo)準(zhǔn)的量度。只做最少的必要的事情或僅僅遵循法規(guī)是不夠的。云計(jì)算、物聯(lián)網(wǎng)和移動(dòng)正在改變一切，我們需要作為一個(gè)社區(qū)，與我們的供應(yīng)商(包括新型技術(shù)公司)一起開(kāi)發(fā)使我們能夠支持企業(yè)向前發(fā)展的產(chǎn)品和解決方案。

網(wǎng)頁(yè)名稱(chēng)：作為企業(yè)CISO你合格嗎?
當(dāng)前鏈接：http://m.5511xx.com/article/cdjdohe.html