日韩五区六区免费观看无打码,一级黄色看黄色一级斤

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

首席信息安全官和首席信息官應(yīng)該如何共享網(wǎng)絡(luò)安全所有權(quán)

首席信息安全官(CISO)和首席信息官(CIO)需要權(quán)衡他們的網(wǎng)絡(luò)安全職責(zé)如何隨著業(yè)務(wù)環(huán)境和威脅格局的變化而演變。

在大多數(shù)企業(yè)中，首席信息安全官和首席信息官都肩負(fù)著網(wǎng)絡(luò)安全的責(zé)任是很常見的，而這個問題對于任何企業(yè)的有效運營越來越重要。明確的網(wǎng)絡(luò)安全所有權(quán)是企業(yè)安全成功定位的不可或缺的一部分。

根據(jù)國際信息系統(tǒng)審計協(xié)會(ISACA)最近對近3700名全球網(wǎng)絡(luò)安全專業(yè)人員的一項調(diào)查，48%的網(wǎng)絡(luò)安全團隊直接向首席信息安全官報告，25%的網(wǎng)絡(luò)安全團隊向首席信息官報告。盡管這些在報告中存在差異，但表明首席信息安全官和首席信息官之間在安全職能所有權(quán)方面沒有顯著差異，其中涉及網(wǎng)絡(luò)攻擊增加或減少的觀點、檢測和響應(yīng)網(wǎng)絡(luò)威脅的能力以及網(wǎng)絡(luò)犯罪。

然而，該報告確實發(fā)現(xiàn)了與網(wǎng)絡(luò)風(fēng)險評估的執(zhí)行評估、企業(yè)董事會如何優(yōu)先考慮網(wǎng)絡(luò)安全以及戰(zhàn)略調(diào)整相關(guān)的差異。更重要的是，該報告還指出了一種越來越多的行業(yè)慣例，即首席信息安全官向首席信息官以外的任何人報告，尤其是當(dāng)首席信息安全官的范圍包括治理、風(fēng)險和合規(guī)性、業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)、欺詐、信任以及安全或危機管理的時候。

由于企業(yè)的規(guī)模、部門和監(jiān)管要求等原因，首席信息官和首席信息安全官對網(wǎng)絡(luò)安全問題的責(zé)任可能有所不同。盡管如此，隨著網(wǎng)絡(luò)安全與更廣泛的業(yè)務(wù)元素越來越緊密地交織在一起，誰擁有什么類型的網(wǎng)絡(luò)安全所有權(quán)以及為什么擁有這種權(quán)力變得越來越重要。

網(wǎng)絡(luò)安全責(zé)任：首席信息安全官vs.首席信息官

Lightico公司首席信息官Omri Braun以這種方式總結(jié)了大多數(shù)首席信息官和首席信息安全官的網(wǎng)絡(luò)安全職責(zé)之間的區(qū)別：“首席信息官更專注于確保使用正確的工具來最大限度地提高效率，以及識別影響企業(yè)和不斷尋找機會使用和生產(chǎn)更好的技術(shù)。首席信息安全官負(fù)責(zé)確保主動保護數(shù)據(jù)安全性和完整性。”

Orange Cyber??defense公司全球首席信息安全官Richard Jones對此表示認(rèn)同。他說，“通常情況下，首席信息安全官的角色是從運營角度看待安全，保護企業(yè)免受網(wǎng)絡(luò)威脅。另一方面，首席信息官更側(cè)重于通過設(shè)計將安全性構(gòu)建到企業(yè)更廣泛的技術(shù)堆棧和正在進(jìn)行的數(shù)字化轉(zhuǎn)型項目中，以提高彈性、提升用戶體驗，并最大限度地提高效率。”

網(wǎng)絡(luò)安全架構(gòu)師Tee Patel表示，就安全投資回報率而言，首席信息官經(jīng)常被迫采取“黨派路線”，而首席信息安全官通常需要更加獨立，專注于保護業(yè)務(wù)安全。他說，“讓企業(yè)獲利并實現(xiàn)目標(biāo)(首席信息官)與保持IT安全(首席信息安全官)是首席信息官和首席信息安全官之間的顯著差異?！?/p>

這些區(qū)別可能很微妙。英國特許信息安全協(xié)會首席執(zhí)行官 Amanda Finch表示，首席信息安全官和首席信息官對數(shù)據(jù)的態(tài)度最好地概括了責(zé)任的差異。信息安全認(rèn)證和認(rèn)證機構(gòu)CREST公司總裁Ian Glover表示，從安全角度完全區(qū)分首席信息安全官和首席信息官的角色越來越困難。在大多數(shù)企業(yè)中，它們過于緊密地結(jié)合和相互關(guān)聯(lián)。

首席信息安全官的網(wǎng)絡(luò)安全職責(zé)

Zoom公司首席信息安全官Jason Lee表示，他的主要重點是保護關(guān)鍵信息，包括客戶數(shù)據(jù)、員工數(shù)據(jù)和源代碼。他說，“在安全方面，考慮大局很重要。這包括查看與業(yè)務(wù)相關(guān)的第三方并評估如何最好地管理任何風(fēng)險。我還負(fù)責(zé)盡可能多地培訓(xùn)和教育員工，以確保他們?yōu)榘踩{做好準(zhǔn)備并受到保護?！?/p>

對于惠普公司的首席信息安全官Joanna Burkey來說，駕馭混合工作時代以保護企業(yè)是當(dāng)前安全工作的不可或缺的一部分。他說，“在過去18個月左右的遠(yuǎn)程工作模式中，網(wǎng)絡(luò)安全很容易對員工增加更多限制，因為他們的工作通常在沒有傳統(tǒng)的基礎(chǔ)設(shè)施保護的情況下進(jìn)行。”然而，這些安全政策和限制是為遠(yuǎn)程工作是例外而不是常態(tài)的時候設(shè)計的，需要通過新的視角來看待。她說，“首席信息安全官現(xiàn)在需要考慮其他降低風(fēng)險的方法如何可以保護企業(yè)，但同時也承認(rèn)現(xiàn)實生活中并不總是很好地遵守政策，尤其是在全球發(fā)生疫情之后?！?/p>

Jones補充說，管理由動態(tài)網(wǎng)絡(luò)威脅格局和數(shù)字化轉(zhuǎn)型浪潮相結(jié)合引起的過載是現(xiàn)代首席信息安全官角色的另一個組成部分。她說，“網(wǎng)絡(luò)安全現(xiàn)在需要融入企業(yè)運營的各個方面，并成為從首席執(zhí)行官到初級員工每個人的首要考慮的事項?！彼赋觯紫畔踩僖虼吮仨殢念^開始為企業(yè)數(shù)字環(huán)境的各個方面注入安全性，確保它從數(shù)字項目開始就融入進(jìn)來，最終減少安全團隊面臨的警報量，讓他們能夠更好地利用技能和資源。

首席信息官的網(wǎng)絡(luò)安全職責(zé)

Finch指出，雖然首席信息安全官負(fù)責(zé)網(wǎng)絡(luò)安全的各種日常性和前瞻性規(guī)劃，但在大多數(shù)企業(yè)中，這些責(zé)任往往由首席信息官承擔(dān)，首席信息官向首席執(zhí)行官和董事會成員報告。他說，“因此，首席信息官不能完全將責(zé)任交給首席信息安全官。與其相反，他們需要保持對安全戰(zhàn)略的認(rèn)識，并確保不會使企業(yè)的整體戰(zhàn)略處于危險之中，反之亦然?！?/p>

Tenable公司首席信息官Brad Pollard表示，當(dāng)今的首席信息官有一系列基于可用性、性能、預(yù)算和項目及時交付的安全責(zé)任。他說，“首席信息官支持企業(yè)內(nèi)的每個業(yè)務(wù)部門。在這樣做時，他們繼承了每個業(yè)務(wù)部門的信息安全要求?！?/p>

例如，首席信息安全官很可能負(fù)責(zé)定義安全參數(shù)，例如漏洞修復(fù)或訪問控制的服務(wù)級別協(xié)議，但首席信息官有責(zé)任為所有業(yè)務(wù)部門滿足這些要求，并涵蓋企業(yè)的所有技術(shù)。Pollard說?！笆紫畔⒐倜媾R的主要網(wǎng)絡(luò)安全挑戰(zhàn)是滿足業(yè)務(wù)需求，特別是保持預(yù)算和進(jìn)度，同時保持安全的環(huán)境?！?/p>

英國埃塞克斯大學(xué)首席信息官Jots Sehmbi表示，首席信息官的角色不僅僅是運營傳統(tǒng)業(yè)務(wù)，還越來越多地包括實施新技術(shù)，為企業(yè)提供數(shù)字能力。他說，“其中一些技術(shù)對企業(yè)來說可能是新穎的(例如RPA、人工智能、物聯(lián)網(wǎng))并存在潛在風(fēng)險，例如數(shù)據(jù)的架構(gòu)方式。因此，首席信息官有責(zé)任深入了解新技術(shù)的網(wǎng)絡(luò)安全趨勢?！?/p>

沖突與合作

Braun表示，鑒于世界并不完美這一現(xiàn)實，首席信息安全官和首席信息官不同的網(wǎng)絡(luò)安全責(zé)任和目標(biāo)可能會導(dǎo)致沖突。但是需要提高凝聚力，以確保正在使用具有前瞻性的技術(shù)，該技術(shù)受到安全實踐的保障，不會危及企業(yè)、其數(shù)據(jù)或客戶的數(shù)據(jù)。

Jones表示，首席信息官和首席信息安全官不能孤立地看待自己，他們必須明白，雖然可能有不同的目標(biāo)，但他們走的是同一條路。他說，“這兩個職位之間的協(xié)作和溝通是現(xiàn)代企業(yè)中的關(guān)鍵。首席信息安全官和首席信息官必須合作利用SD-WAN、SASE和零信任等技術(shù)和方法，以支持這些新的安全、高效的工作方式，并且不會影響可用性?！彼a充說，首席信息安全官和首席信息官也必須意識到彼此的約束并在其中運作。

Glover引用了此處涉及的監(jiān)管問題，強調(diào)了國際監(jiān)管社區(qū)中一個新出現(xiàn)的問題，監(jiān)管機構(gòu)現(xiàn)在認(rèn)識到有責(zé)任了解其受監(jiān)管實體提供的網(wǎng)絡(luò)安全保證水平。他說，“同一受監(jiān)管行業(yè)的首席信息官和首席信息安全官之間需要加強合作。監(jiān)管機構(gòu)會做他們認(rèn)為正確的事情，但通常會從自身的角度看待問題。這種積極的影響與首席信息官和首席信息安全官的歷史角色大不相同，但是，如果謹(jǐn)慎而富有同情心地進(jìn)行，將降低業(yè)務(wù)成本，讓更多資源集中在控制而不是報告上，并通過展示對業(yè)務(wù)的真正理解以及降低成本和提高效率的必要性，提高首席信息官和首席信息官在企業(yè)中的地位?！?/p>

Lee補充說，網(wǎng)絡(luò)安全在業(yè)務(wù)運營中的發(fā)展作用正在改變首席信息官和首席信息安全官之間的凝聚力，這是他在Zoom公司親身體驗過的。他說，“我們都必須優(yōu)先考慮網(wǎng)絡(luò)安全，并應(yīng)對日益增加的威脅。而在做出任何決定時，安全性必須是我們的首要考慮因素。保持參與彼此的戰(zhàn)略和關(guān)鍵舉措至關(guān)重要。即使我們認(rèn)為不需要對方來確保很強的一致性，也會不斷地在策略中相互參與。這意味著我們的角色比過去更緊密地聯(lián)系在一起，使得協(xié)作變得更加重要?！?/p>

網(wǎng)絡(luò)安全所有權(quán)的未來

展望未來，專家預(yù)測首席信息安全官和首席信息官的網(wǎng)絡(luò)安全職責(zé)將發(fā)生顯著變化。Finch說，“我們將看到首席信息官和首席信息安全官努力使安全成為具有一致性標(biāo)準(zhǔn)、行為和執(zhí)行的可信賴來源承擔(dān)同樣重要的責(zé)任，就像法律、醫(yī)學(xué)和會計等職業(yè)一樣?！?/p>

Zscaler公司首席信息安全官Marc Lueck認(rèn)為，首席信息官在未來幾年將有一段有趣的網(wǎng)絡(luò)安全之旅。他指出，“或者他們擅長平衡成本和收益模式這兩種截然不同的基本服務(wù)，或者首席信息官將負(fù)責(zé)IT安全交付，由不再向他們報告的首席信息安全官管理并可能執(zhí)行。這兩種模式都將存在，而且只要合適的人擔(dān)任這些角色，兩者都會取得成功?！睂τ谑紫畔⒐俣裕W(wǎng)絡(luò)安全失敗并不令人難忘，但對于首席信息官而言，網(wǎng)絡(luò)安全將變得與效率和成本削減技能一樣重要。

Pollard補充說，就像現(xiàn)代業(yè)務(wù)部門通過SaaS平臺承擔(dān)一些傳統(tǒng)IT職責(zé)一樣，首席信息官將更有責(zé)任在業(yè)務(wù)部門內(nèi)尋找安全專家。他補充說，“這些專家不僅需要知道如何保護所使用的特定技術(shù)，還需要了解對特定業(yè)務(wù)部門構(gòu)成最大風(fēng)險的威脅的態(tài)勢感知?！?/p>

Glover預(yù)測，首席信息官和首席信息安全官的共同職責(zé)將在第三方連接和并購領(lǐng)域發(fā)生變化，雙方都需要共同努力建立有意義的流程，以增加安全性和保障。他說，“他們將共同努力，以確保他們成為企業(yè)內(nèi)重大舉措的一部分，并在他們之間擁有力量和權(quán)威，就第三方關(guān)系以及收購和合并做出明智和深思熟慮的聲明?！?/p>
當(dāng)前名稱：首席信息安全官和首席信息官應(yīng)該如何共享網(wǎng)絡(luò)安全所有權(quán)
文章位置：http://m.5511xx.com/article/dheiodp.html