压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　在過去15年里，Renee Guttmann一直在財富500強企業領導安全和風險管理項目。Guttmann曾擔任Gartner高級研究分析師，她現在仍然是全球信息安全社區的活躍成員，在本文中，她與安全及隱私領域的同行們和供應商們分享了她來之不易的建議和技術指導。

　　在她非凡的職業生涯中，Guttmann曾分別擔任可口可樂公司、時代公司和時代華納公司(合并后)以及Capital One公司的首席安全架構師、首席信息官(CISO)和副總裁。目前，她是信息安全服務公司Accuvant公司CISO辦公室副總裁。CISO的生活到底是怎樣的？為此Marcus Ranum采訪了Guttmann，詢問她應對全球信息安全和隱私項目永無止境的挑戰所需要的領導力和核心技能。

　　MARCUS RANUM：對于信息安全從業人員，CISO位于金字塔的頂端。我們的觀念和現實相符嗎？我聽到了很多人談論CISO的工作就是‘向董事會呈現數據指標’之類的事情。但你的工作真的是這樣嗎？你怎么安排你的時間？

　　RENEE GUTTMANN：對于大多數大型企業，信息安全問題已經上升到應引起董事會關注的層面。這是一個瞬息萬變的環境，我們面對著各種惡意動機的群體，從有組織的犯罪、尋求競爭優勢的民族國家和公司，到攻擊品牌的網絡積極分子。

　　向董事會報告數據指標是非常有必要的，這樣可以量化和簡化企業及其業主所面臨的的風險情況。

　　但我真正的時間都花在創建、‘溝通’和部署戰略，來積極管理企業面臨的潛在風險。在你制定好戰略并獲得主要利益相關者的支持后，如果部署進展順利的話，向董事會和其他人提供有意義的數據指標成了相對簡單的任務。我想說，在信息安全領域工作這么多年，擔任幾家大公司的首位CISO給我帶來令人難以置信的回報。

　　安全從業人員如何為CISO職位做好準備？你認為成功的CISO需要的核心技能是什么？你如何獲取這些技能？

　　并沒有萬能的技能。我認識從未在信息安全領域工作過的CISO，并且他們都是優秀的企業領袖。我從事過信息安全領域各個層次的工作，我認為現在最重要的技能是能夠將信息安全和風險管理轉化為讓其他人理解的信息。

　　安全從業人員需要積極參與更廣泛的信息安全社區—分享想法和經驗教訓。Larry Boosidy將這稱為“厚著臉皮地偷”，畢竟利用其他地方的好想法并沒有壞處。

　　當你剛開始你的職業生涯時，與其他杰出的CISO共處一室會很恐怖，但作為一個有抱負的CISO，這可能是你可以做的最重要的事情之一，要知道，與成功的同行在一起絕對沒有壞處。

　　你必須愿意接受新想法、愿意改變以及成為一個變革者。在達爾文的《物種起源》中，我最喜歡的理論之一是：生存下來的不是那些最強壯或最聰明的，而是那些適應力最好的。如果你不適應變化，可能很難成為CISO。

　　如果企業淪為攻擊目標，CISO發揮怎樣的作用？如果發生數據泄露事故，你是否需要承擔責任？

　　我們都知道，每當出現網絡放緩的情況時，肯定有一個錯誤配置的安全設備。好啦，我是在開玩笑。我并不喜歡指責的游戲，但我認為，當問題出現在其工作職責內時，CISO需要承擔責任。

　　另一方面是確保在問題發生之前發現風險，CISO需要負責確保企業清楚這個潛在風險，并妥善處理它—即使這意味著失去一些支持。當然，我們有不同的方法來管理風險，包括接受風險。利益相關者需要參與進來，并且，我覺得目標應該不是局限于個人關注的內容。

　　我有時聽到信息安全從業人員談論說，通過讓業務部門對某些工作簽字確認來管理風險—如果發生泄漏事故者可以轉移責任或保護他們免受譴責。但我覺得這不實際，我也從沒有嘗試過。你覺得呢？

　　而且這并沒有那么容易。即使一個業務部門領導簽字，如果出現重大后果，他們可能會說他們并沒有真正理解這個問題。這就是說，信息安全的工作是管理風險，而CISO必須要更加實際。我建議清楚明確各自的職責。

　　例如：‘我們不會允許網站包含讓攻擊者可以很容易地從數據庫竊取個人數據的漏洞。’同樣重要的是，讓高層領導支持這些‘職責分配’。并且，最終，人們知道他們不能推出不安全的網站。

　　還有一個好辦法是建立一個跨職能管理團隊(包括從業人員和高層領導)來幫助評估和接受信息安全風險。你不希望將每次例外都標記為異常，所以CISO需要幫助這個管理團隊來確定政策的合理例外情況。例如，企業可能允許網站存在低風險問題，并計劃在90天內解決這些問題。你和你的團隊必須實事求是，畢竟沒有絕對安全的事情。

　　你在跨職能方面的經驗是什么？你花多少時間與業務部門探討安全問題或者讓你的團隊嵌入其他團隊？成功的安全部門有時候是顧問和教育工作者，其他時候則是守護者。

　　我的大部分工作都是全球性的，IT也很分布化。在每種情況下，我都有員工在國外為我工作，有時候他們也報告給區域業務部門。

　　我們花了很多時間來教育關鍵利益相關者，以及提高整體員工的意識。我曾告訴IT部門的1000個人，我認為他們是團隊的一部分。我的團隊需要理解和支持其他人，這對于其他人也同樣重要，包括員工和顧問，他們應該了解保護企業信息的重要性。

　　你知道，當員工知道你是誰時，信息安全項目才可以進展，他們在遇到問題時會打電話給你。這又回到了“無指責的游戲”。作為一名CISO，我寧愿早些知道潛在問題的存在，這樣我可以及時解決問題。我告訴人們，‘總有一些小火在燃燒，只是不要讓它們燒毀建筑物了。’

　　你花了多久才進入角色？我總是覺得，隨著企業規模的擴大，我們需要花更久的時間來了解正在發生什么——我是個控制狂！你在使用任何特定的方法嗎？對于你來說，這是一個程序，還是總是有不同？

　　在我最開始的前90天工作中，我的一位經理給了我一個禮物：他給了我一本書，教我如何開始我的工作。這本書建議(經理)提出三個問題：什么正在運行？什么需要改進？以及哪里我沒有出錯？我驚喜地發現這非常管用，這讓我能夠快速發現信息安全程序成功的區域，以及需要對人員、流程和技術進行調整的區域。

　　我告訴我的團隊，‘完美是成功的大敵’。在我的辦公室有一個牌子，上面寫著，因為我不知道發生了什么事情，于是我笑了。當你不知道所有答案的時候能夠笑，并承認你不知道，這對職業壽命和個人壽命都很重要。順便說一句，我不知道你是控制狂！

　　對于‘控制狂’，我的意思是，我必須很清楚事情的發展，否則我會很不舒服。這是很困難的事情，因為我認為這潛在地限制了我能有效工作的范圍。當我看著你從事過的職位，讓我感到昏亂。從你的職位，你怎么知道在不同層面發生的事情？我的態度是‘信任，但要核查’，并且，在核查部分，我總是缺乏足夠的帶寬，你如何平衡這一點？

　　這又回到了管理風險的話題。我并不會使用安全這個詞，除非我在談論我160磅的狗。這也是為什么你需要有一個非常社會化且獲得高層支持的戰略的原因。我們需要付出很多來獲得成功。我也認為，對于擴展信息安全，你需要人員、流程和技術。我很擔心過于人工且需要有人花數小時查看細微內容的整治計劃。并不是反復說到這一點，但這方面確實會出問題。對于信息安全，我們面對不同水平的問題，你需要專注于對企業很重要的事情。

　　是否有想要重新來過或第二次機會？

　　前車之鑒很美好，這個問題的答案是肯定的。首先，我會在我的職業生涯的更早期聘請更多的高校畢業生、退伍人員和實習生，因為他們會給團隊帶來新視角和信譽。我可以告訴你，從事社交媒體項目的20多歲的年輕人更愿意聽到我20多歲員工的信息安全言論，而不是從我這里。其次，我會更多地向系統管理員和員工(出于他們報告可疑活動的工作)，還有我的團隊、顧問和同行說聲“謝謝”。我會利用所有公司提供的機制來認識人員，但這確實需要付出很多，而且你需要慶祝成功，你還需要有指標來展示成功。

　　最后想說些什么？

　　作為CISO，重要的是要非常清楚信息安全的發展狀況。昨日應有的注意可能恰恰就是明日的疏忽。

　　我建議信息安全從業人員看看T.J. Hooper案件的裁決，該案件涉及在20世紀30年代，被拖船拖走的兩艘駁船在風暴中沉沒。駁船所有者起訴這個過失問題，并指出拖船沒有正常的天氣傳送無線電。拖船所有者反駁說，天氣傳送無線電并不是行業標準。

　　法官Learned Hand在60 F.2d737(1932年第二巡回法院)裁決，該拖船所有者應承擔責任：法院最后必須說公道話；預防措施非常有必要，即使是他們的普遍漠視也不能成為疏忽的借口。

　　換句話說，如果有一個做法是合理的，但不是普遍的‘習慣’做法，這仍然應該作為標準的量度。只做最少的必要的事情或僅僅遵循法規是不夠的。云計算、物聯網和移動正在改變一切，我們需要作為一個社區，與我們的供應商(包括新型技術公司)一起開發使我們能夠支持企業向前發展的產品和解決方案。