公司高管低估了 CISO 的作用和网络攻击风险的严重性

安全主管必须改善与高管的关系并设定明确的预期,这样才能减轻压力。

CISO_MentalHealth_1440x840.jpg

关键要点:

  • 越来越多的网络攻击加剧了组织的紧张局势
  • 向业务领导者说明相关风险和对策,有助于他们在发生网络入侵时给予更多支持
  • 了解业务团队的目标并依靠数据的力量,可使高管之间的关系更加融洽

在疫情刚爆发的那一周,软银愿景基金首席信息安全官 Gary Hayslip 的压力特别大,只想在家逃避。他和妻子用乐高积木拼装了一艘 4,700 块的星球大战帝国驱逐舰,足足有四英尺长。Hayslip 说:“这很有助于静下心来深思。”

而静心深思对许多 CISO 来说都非常有必要。 

过去 18 个月,企业安全主管面临的挑战越来越多,其中许多人仍旧面临着重大内部挑战和持续外部威胁的双重压力。突然而来的远程办公、急剧增加的网络攻击,因安全人员短缺而增加的工作量,让 CISO 应接不暇。与此同时,他们还被分派了新的任务,例如遵守隐私法规。除此之外,他们还面临着与所在组织之间令人焦虑且不确定的关系。安永最近对全球信息安全高管进行的一项调查显示,这种关系从未像现在这样紧张过。

Telstra Purple(澳大利亚最大的电信提供商 Telstra 旗下的技术咨询公司)的网络安全咨询主管 Manoj Bhatt 表示:“考虑到如今在疫情爆发后开展业务的性质发生了变化,而且威胁形势不断演变,CISO 担负的工作无疑是整个组织结构中最艰巨的。” 

硅谷加密技术提供商 Eclipz 的 CISO Matthew Rosenquist 说,许多公司高管不了解安全风险,也没有意识到网络攻击是不可避免的,这让问题变得更加棘手。Matthew 还经常撰写和谈论安全高管面临的挑战。  

这可能会让网络安全领导者陷入无望的境地。Rosenquist 解释道:“如果您工作做得不好,公司因遭受攻击而蒙受损失,首席执行官就会说‘我们为什么需要您?’,如果您工作做得很好,而且一点损失都没有,高管们仍然会说‘好吧,一切都很好,所以我们不需要您。’” 

资深的 CISO 和其他安全专家说,加强与其他高管和董事会成员的沟通,可以大大缓解与高管的紧张关系,减轻自身所承受的压力。为了得到这些关键群体的同理心和理解,他们建议采用以下几点策略。

1.设定切合实际的预期,为高管提供详细的信息 

    大多数 CISO 都了解他们面临的威胁,以及需要采取哪些措施来防范这些威胁。他们的工作是确保让其他高管拥有同样的认识。如果领导者明白漏洞是一种商业现实,并对应对措施有信心,他们就不太可能感到措手不及。

    Hayslip 说:“大家都经常看到关于黑客入侵的新闻,所以您必须和相关人员说清楚这种风险与公司有什么关系,以及我们有哪些系统,以便提供更广泛的背景信息。”  

    在软银,Hayslip 强调要与其他部门领导会面,以了解他们的业务目标、需要保护的关键资源,以及安全措施可能给他们的团队带来的分歧。他认为自己的角色不仅仅是技术领导者,而是“管理风险的企业高管”,他并且说:“您不能只是偏安一隅,做自己领域的主人。” 

    2.了解您的受众以进行有效沟通 

      作为最高安全主管,CISO 是业务部门和信息安全团队之间的重要联络人。有效沟通需要了解对方的优先事项,说对方能听懂的语言,而不是网络安全和 IT 复杂的术语。 

      然而,根据 ClubCISO 最近的一项调查,只有大约三分之一的 CISO 表示他们有很强的沟通能力。ClubCISO 是一家总部位于伦敦的组织,拥有 500 位全球网络安全领导者。虽然调查指出,业务知识远比技术知识更重要,但只有少数 CISO 表示,他们具备足够的这些技能。 

      这就是了解您的内部受众如此重要的原因所在。Rosenquist 说:“如果是人事部门的受众,我可能会和他们讨论员工敏感数据的机密性问题。而财务团队会注重他们记录和流程的完整性,产品线主管想知道安全控制会对盈利能力和产品计划产生怎样的影响。” 

      3.衡量会吸引您关注的方面 

        继 CEO 之后,CISO 最重要的高管同事就是控制预算的首席财务官了。与 CFO 建立积极的关系,有助于提供更多资源来缓解工作负载和其他安全计划。 

        与财务主管(以及其他业务领导者)共事时,硬性数据是必不可少的工具。德勤首席信息官项目研究负责人 Khalid Kark 表示,一些 CISO 提供的数据显示了过去 12 或 18 个月内遭到挫败的威胁数量、防御方式以及攻击者的目标。

        Kark 回忆说,金融服务行业的一位 CISO 为他的每位高管同事和其他业务领导者都创建了定制的网络风险仪表板,让他们能够定期查看安全指标菜单。

        Kark 说:“在网络安全领域,能衡量的方面会受到关注。设定了明确的指标,才会有助于说明问题。”

        希望之光就在前方

        ClubCISO 调查表明,CISO 进入 2022 年的前景更为乐观:86% 的 CISO 表示,他们的组织现在认为安全与他们一样重要,这高于疫情前的 65%。近 70% 的受访者认为,他们的组织拥有积极的安全文化,这一比例高于 2020 年的 45%。

        与此同时,各个 CISO 也在寻找自己应对压力的方法。Rosenquist 骑着摩托车在内华达山脉的山脚放松身心,他的家就在萨克拉门托附近。Rosenquist 说:“这是完全可以预测的事情,您可以完全掌控,与网络安全完全不同。”   

        Hayslip 和妻子最近预订了一趟夏威夷游轮,这是他们多年来第一次需要乘飞机旅行。他说:“在这个领域工作,您必须得有跳脱出来的方法。”