日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

在過去15年里，Renee Guttmann一直在財(cái)富500強(qiáng)企業(yè)領(lǐng)導(dǎo)安全和風(fēng)險(xiǎn)管理項(xiàng)目。Guttmann曾擔(dān)任Gartner高級研究分析師，她現(xiàn)在仍然是全球信息安全社區(qū)的活躍成員，在本文中，她與安全及隱私領(lǐng)域的同行們和供應(yīng)商們分享了她來之不易的建議和技術(shù)指導(dǎo)。

創(chuàng)新互聯(lián)不只是一家網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司；我們對營銷、技術(shù)、服務(wù)都有自己獨(dú)特見解，公司采取“創(chuàng)意+綜合+營銷”一體化的方式為您提供更專業(yè)的服務(wù)！我們經(jīng)歷的每一步也許不一定是最完美的，但每一步都有值得深思的意義。我們珍視每一份信任，關(guān)注我們的成都網(wǎng)站制作、網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)質(zhì)量和服務(wù)品質(zhì)，在得到用戶滿意的同時(shí)，也能得到同行業(yè)的專業(yè)認(rèn)可，能夠?yàn)樾袠I(yè)創(chuàng)新發(fā)展助力。未來將繼續(xù)專注于技術(shù)創(chuàng)新，服務(wù)升級，滿足企業(yè)一站式營銷型網(wǎng)站建設(shè)需求，讓再小的品牌網(wǎng)站設(shè)計(jì)也能產(chǎn)生價(jià)值！

在她非凡的職業(yè)生涯中，Guttmann曾分別擔(dān)任可口可樂公司、時(shí)代公司和時(shí)代華納公司(合并后)以及Capital One公司的首席安全架構(gòu)師、首席信息官(CISO)和副總裁。目前，她是信息安全服務(wù)公司Accuvant公司CISO辦公室副總裁。CISO的生活到底是怎樣的?為此Marcus Ranum采訪了Guttmann，詢問她應(yīng)對全球信息安全和隱私項(xiàng)目永無止境的挑戰(zhàn)所需要的領(lǐng)導(dǎo)力和核心技能。

MARCUS RANUM：對于信息安全從業(yè)人員，CISO位于金字塔的頂端。我們的觀念和現(xiàn)實(shí)相符嗎?我聽到了很多人談?wù)揅ISO的工作就是‘向董事會呈現(xiàn)數(shù)據(jù)指標(biāo)’之類的事情。但你的工作真的是這樣嗎?你怎么安排你的時(shí)間?

RENEE GUTTMANN：對于大多數(shù)大型企業(yè)，信息安全問題已經(jīng)上升到應(yīng)引起董事會關(guān)注的層面。這是一個(gè)瞬息萬變的環(huán)境，我們面對著各種惡意動(dòng)機(jī)的群體，從有組織的犯罪、尋求競爭優(yōu)勢的民族國家和公司，到攻擊品牌的網(wǎng)絡(luò)積極分子。

向董事會報(bào)告數(shù)據(jù)指標(biāo)是非常有必要的，這樣可以量化和簡化企業(yè)及其業(yè)主所面臨的的風(fēng)險(xiǎn)情況。

但我真正的時(shí)間都花在創(chuàng)建、‘溝通’和部署戰(zhàn)略，來積極管理企業(yè)面臨的潛在風(fēng)險(xiǎn)。在你制定好戰(zhàn)略并獲得主要利益相關(guān)者的支持后，如果部署進(jìn)展順利的話，向董事會和其他人提供有意義的數(shù)據(jù)指標(biāo)成了相對簡單的任務(wù)。我想說，在信息安全領(lǐng)域工作這么多年，擔(dān)任幾家大公司的首位CISO給我?guī)砹钊穗y以置信的回報(bào)。#p#

安全從業(yè)人員如何為CISO職位做好準(zhǔn)備?你認(rèn)為成功的CISO需要的核心技能是什么?你如何獲取這些技能?

并沒有萬能的技能。我認(rèn)識從未在信息安全領(lǐng)域工作過的CISO，并且他們都是優(yōu)秀的企業(yè)領(lǐng)袖。我從事過信息安全領(lǐng)域各個(gè)層次的工作，我認(rèn)為現(xiàn)在最重要的技能是能夠?qū)⑿畔踩惋L(fēng)險(xiǎn)管理轉(zhuǎn)化為讓其他人理解的信息。

安全從業(yè)人員需要積極參與更廣泛的信息安全社區(qū)—分享想法和經(jīng)驗(yàn)教訓(xùn)。Larry Boosidy將這稱為“厚著臉皮地偷”，畢竟利用其他地方的好想法并沒有壞處。

當(dāng)你剛開始你的職業(yè)生涯時(shí)，與其他杰出的CISO共處一室會很恐怖，但作為一個(gè)有抱負(fù)的CISO，這可能是你可以做的最重要的事情之一，要知道，與成功的同行在一起絕對沒有壞處。

你必須愿意接受新想法、愿意改變以及成為一個(gè)變革者。在達(dá)爾文的《物種起源》中，我最喜歡的理論之一是：生存下來的不是那些最強(qiáng)壯或最聰明的，而是那些適應(yīng)力最好的。如果你不適應(yīng)變化，可能很難成為CISO。

如果企業(yè)淪為攻擊目標(biāo)，CISO發(fā)揮怎樣的作用?如果發(fā)生數(shù)據(jù)泄露事故，你是否需要承擔(dān)責(zé)任?

我們都知道，每當(dāng)出現(xiàn)網(wǎng)絡(luò)放緩的情況時(shí)，肯定有一個(gè)錯(cuò)誤配置的安全設(shè)備。好啦，我是在開玩笑。我并不喜歡指責(zé)的游戲，但我認(rèn)為，當(dāng)問題出現(xiàn)在其工作職責(zé)內(nèi)時(shí)，CISO需要承擔(dān)責(zé)任。

另一方面是確保在問題發(fā)生之前發(fā)現(xiàn)風(fēng)險(xiǎn)，CISO需要負(fù)責(zé)確保企業(yè)清楚這個(gè)潛在風(fēng)險(xiǎn)，并妥善處理它—即使這意味著失去一些支持。當(dāng)然，我們有不同的方法來管理風(fēng)險(xiǎn)，包括接受風(fēng)險(xiǎn)。利益相關(guān)者需要參與進(jìn)來，并且，我覺得目標(biāo)應(yīng)該不是局限于個(gè)人關(guān)注的內(nèi)容。

我有時(shí)聽到信息安全從業(yè)人員談?wù)撜f，通過讓業(yè)務(wù)部門對某些工作簽字確認(rèn)來管理風(fēng)險(xiǎn)—如果發(fā)生泄漏事故者可以轉(zhuǎn)移責(zé)任或保護(hù)他們免受譴責(zé)。但我覺得這不實(shí)際，我也從沒有嘗試過。你覺得呢?

而且這并沒有那么容易。即使一個(gè)業(yè)務(wù)部門領(lǐng)導(dǎo)簽字，如果出現(xiàn)重大后果，他們可能會說他們并沒有真正理解這個(gè)問題。這就是說，信息安全的工作是管理風(fēng)險(xiǎn)，而CISO必須要更加實(shí)際。我建議清楚明確各自的職責(zé)。

例如：‘我們不會允許網(wǎng)站包含讓攻擊者可以很容易地從數(shù)據(jù)庫竊取個(gè)人數(shù)據(jù)的漏洞。’同樣重要的是，讓高層領(lǐng)導(dǎo)支持這些‘職責(zé)分配’。并且，最終，人們知道他們不能推出不安全的網(wǎng)站。

還有一個(gè)好辦法是建立一個(gè)跨職能管理團(tuán)隊(duì)(包括從業(yè)人員和高層領(lǐng)導(dǎo))來幫助評估和接受信息安全風(fēng)險(xiǎn)。你不希望將每次例外都標(biāo)記為異常，所以CISO需要幫助這個(gè)管理團(tuán)隊(duì)來確定政策的合理例外情況。例如，企業(yè)可能允許網(wǎng)站存在低風(fēng)險(xiǎn)問題，并計(jì)劃在90天內(nèi)解決這些問題。你和你的團(tuán)隊(duì)必須實(shí)事求是，畢竟沒有絕對安全的事情。#p#

你在跨職能方面的經(jīng)驗(yàn)是什么?你花多少時(shí)間與業(yè)務(wù)部門探討安全問題或者讓你的團(tuán)隊(duì)嵌入其他團(tuán)隊(duì)?成功的安全部門有時(shí)候是顧問和教育工作者，其他時(shí)候則是守護(hù)者。

我的大部分工作都是全球性的，IT也很分布化。在每種情況下，我都有員工在國外為我工作，有時(shí)候他們也報(bào)告給區(qū)域業(yè)務(wù)部門。

我們花了很多時(shí)間來教育關(guān)鍵利益相關(guān)者，以及提高整體員工的意識。我曾告訴IT部門的1000個(gè)人，我認(rèn)為他們是團(tuán)隊(duì)的一部分。我的團(tuán)隊(duì)需要理解和支持其他人，這對于其他人也同樣重要，包括員工和顧問，他們應(yīng)該了解保護(hù)企業(yè)信息的重要性。

你知道，當(dāng)員工知道你是誰時(shí)，信息安全項(xiàng)目才可以進(jìn)展，他們在遇到問題時(shí)會打電話給你。這又回到了“無指責(zé)的游戲”。作為一名CISO，我寧愿早些知道潛在問題的存在，這樣我可以及時(shí)解決問題。我告訴人們，‘總有一些小火在燃燒，只是不要讓它們燒毀建筑物了。’

你花了多久才進(jìn)入角色?我總是覺得，隨著企業(yè)規(guī)模的擴(kuò)大，我們需要花更久的時(shí)間來了解正在發(fā)生什么——我是個(gè)控制狂!你在使用任何特定的方法嗎?對于你來說，這是一個(gè)程序，還是總是有不同?

在我最開始的前90天工作中，我的一位經(jīng)理給了我一個(gè)禮物：他給了我一本書，教我如何開始我的工作。這本書建議(經(jīng)理)提出三個(gè)問題：什么正在運(yùn)行?什么需要改進(jìn)?以及哪里我沒有出錯(cuò)?我驚喜地發(fā)現(xiàn)這非常管用，這讓我能夠快速發(fā)現(xiàn)信息安全程序成功的區(qū)域，以及需要對人員、流程和技術(shù)進(jìn)行調(diào)整的區(qū)域。

我告訴我的團(tuán)隊(duì)，‘完美是成功的大敵’。在我的辦公室有一個(gè)牌子，上面寫著，因?yàn)槲也恢腊l(fā)生了什么事情，于是我笑了。當(dāng)你不知道所有答案的時(shí)候能夠笑，并承認(rèn)你不知道，這對職業(yè)壽命和個(gè)人壽命都很重要。順便說一句，我不知道你是控制狂!

對于‘控制狂’，我的意思是，我必須很清楚事情的發(fā)展，否則我會很不舒服。這是很困難的事情，因?yàn)槲艺J(rèn)為這潛在地限制了我能有效工作的范圍。當(dāng)我看著你從事過的職位，讓我感到昏亂。從你的職位，你怎么知道在不同層面發(fā)生的事情?我的態(tài)度是‘信任，但要核查’，并且，在核查部分，我總是缺乏足夠的帶寬，你如何平衡這一點(diǎn)?

這又回到了管理風(fēng)險(xiǎn)的話題。我并不會使用安全這個(gè)詞，除非我在談?wù)撐?60磅的狗。這也是為什么你需要有一個(gè)非常社會化且獲得高層支持的戰(zhàn)略的原因。我們需要付出很多來獲得成功。我也認(rèn)為，對于擴(kuò)展信息安全，你需要人員、流程和技術(shù)。我很擔(dān)心過于人工且需要有人花數(shù)小時(shí)查看細(xì)微內(nèi)容的整治計(jì)劃。并不是反復(fù)說到這一點(diǎn)，但這方面確實(shí)會出問題。對于信息安全，我們面對不同水平的問題，你需要專注于對企業(yè)很重要的事情。#p#

是否有想要重新來過或第二次機(jī)會?

前車之鑒很美好，這個(gè)問題的答案是肯定的。首先，我會在我的職業(yè)生涯的更早期聘請更多的高校畢業(yè)生、退伍人員和實(shí)習(xí)生，因?yàn)樗麄儠o團(tuán)隊(duì)帶來新視角和信譽(yù)。我可以告訴你，從事社交媒體項(xiàng)目的20多歲的年輕人更愿意聽到我20多歲員工的信息安全言論，而不是從我這里。其次，我會更多地向系統(tǒng)管理員和員工(出于他們報(bào)告可疑活動(dòng)的工作)，還有我的團(tuán)隊(duì)、顧問和同行說聲“謝謝”。我會利用所有公司提供的機(jī)制來認(rèn)識人員，但這確實(shí)需要付出很多，而且你需要慶祝成功，你還需要有指標(biāo)來展示成功。

最后想說些什么?

作為CISO，重要的是要非常清楚信息安全的發(fā)展?fàn)顩r。昨日應(yīng)有的注意可能恰恰就是明日的疏忽。

我建議信息安全從業(yè)人員看看T.J. Hooper案件的裁決，該案件涉及在20世紀(jì)30年代，被拖船拖走的兩艘駁船在風(fēng)暴中沉沒。駁船所有者起訴這個(gè)過失問題，并指出拖船沒有正常的天氣傳送無線電。拖船所有者反駁說，天氣傳送無線電并不是行業(yè)標(biāo)準(zhǔn)。

法官Learned Hand在60 F.2d737(1932年第二巡回法院)裁決，該拖船所有者應(yīng)承擔(dān)責(zé)任：法院最后必須說公道話;預(yù)防措施非常有必要，即使是他們的普遍漠視也不能成為疏忽的借口。

換句話說，如果有一個(gè)做法是合理的，但不是普遍的‘習(xí)慣’做法，這仍然應(yīng)該作為標(biāo)準(zhǔn)的量度。只做最少的必要的事情或僅僅遵循法規(guī)是不夠的。云計(jì)算、物聯(lián)網(wǎng)和移動(dòng)正在改變一切，我們需要作為一個(gè)社區(qū)，與我們的供應(yīng)商(包括新型技術(shù)公司)一起開發(fā)使我們能夠支持企業(yè)向前發(fā)展的產(chǎn)品和解決方案。

文章題目：作為企業(yè)CISO你合格嗎?
文章源于：http://m.5511xx.com/article/cdjdohe.html