CISO 的最新職責:建立信任
責編:gltian |2019-10-23 11:09:08信任正在成為市場上的差異化因素,而那些尋求在他們的工作中扮演更具有戰略意義角色的 CISO 們必須讓所有的利益相關者都參與進來,建立信任,使組織機構能夠考慮到他們的最佳利益。
Kirsten Davies 面臨一項艱巨的任務:使其公司的歐洲員工采用新的安全協議,而員工擔心這些協議可能會被用來監視他們。
Davies 當時是 HPE 的副首席信息安全官,她需要讓公司的員工使用和遵守各種新的工具和政策,就像歐盟頒布通用數據保護條例 (GDPR) 的時候,是一次大規模的隱私條例改革。但員工們擔心這些安全工具可能會被公司用于監視,他們還質疑這些安全工具的功能是否會侵犯他們自己的隱私。
為了解決這些問題,Davies 走訪了歐洲各地,與工會開會闡述了公司面臨的風險以及引入這些工具的重要性。她從德國開始,在那里,Davies 身為一個以英語為母語的美國人,用她流利的德語與工會建立了融洽的關系。
Davies 解釋道,這樣做的目的是讓工人們了解新工具是如何保護他們和公司的,以及這些工具為何如此重要。她成功地與德國工會 (German Workers Council) 達成了一項網絡安全主協議,成為了 HPE 在海外與工會達成的 20 多個類似協議的典范。
那份有史以來的第一份網絡安全協議,讓我們雙方達成了一致,表明我們正在合作保護這家公司。
Davies 現在是雅詩蘭黛公司 (EstéeLauder Companies Inc.) 的高級副總裁兼 CISO,雅詩蘭黛公司是眾多美容產品的跨國制造商和銷售商,認為在 2016 年她與工會的經歷正好符合安全職能部門的新職責:說服各個部門,讓他們相信當涉及數據安全和隱私的時候,組織機構及其領導者能夠正確處理他們的利益。
Davies表示,目前信任有點變化,但它是一種期望,即希望可以進行的交易是安全、穩定和可信的。
像 CIO 和 IT 部門一樣,CISO 的角色也在不斷演變,從專注于戰術部署的管理人員轉變為從事戰略工作的執行人員。現在,CISO 的角色正在進一步發展,他將使組織機構中的所有利益相關者都參與進來——從客戶和業務伙伴到員工和董事會成員,建立信任,使組織機構在涉及網絡安全時能夠考慮到他們的最佳利益。
不過這不僅僅是一次深奧的討論或哲學實踐:CEO 們相信在數字時代,與利益相關者建立和保持信任對取得成功至關重要。普華永道在其第 21 屆全球首席執行官調查中發現,全球有 87% 的 CEO 表示,為了與客戶建立信任,他們正在投資網絡安全。
信任似乎正在成為市場上的一個差異化因素。
普華永道 (PwC) 網絡安全和隱私業務主管 Shawn Connors 表示:對于那些以合乎道德的方式使用數據、保護數據并以應有的方式管理數據的企業來說,這將帶來實質性的競爭優勢。
信任的價值
普華永道警告高管們,不要低估當今數字世界對信任的需求,也不要低估其價值。
普華永道在其 2018 年秋季報告《數字信任之旅》中寫道:如果說數字經濟的命脈是數據,那么它的核心就是數字信任——對建立一個安全數字世界所需的人員、流程和技術的信心程度。
當然,只要這個角色存在,CISO 們就會一直致力于保護其組織機構的系統及其中的數據。企業高管和董事會成員早就期待 CISO 們能夠兌現這些承諾;甚至客戶和業務合作伙伴也開始希望 CISO 能將這些任務執行到可接受的水平。
不過,如今 CISO 們也面臨著越來越高的社會期望,達拉斯的一名律師 Benjamin Wright 說道,他專注于技術法,是 SANS 研究所的高級講師。
現在社會的法律和規則在說,這是我們希望你達到的復雜要求,如果你不滿足這些要求并確保這些東西的安全,你將受到懲罰。
Wright 表示,結果 CISO 的角色正變得像首席財務官一樣,并且整個安全部門在企業中的職能與法律部門類似,在像金融和法律安全方面,超出了他們的日常職責。
我不是說安全團隊需要像律師或注冊會計師那樣獲得執照。然而,從歷史上看,企業依賴(那些法律和財務)專業人士提供專業建議,而這些建議分量很重。我相信有很多大型企業正在向網絡安全團隊尋求這些專業意見,因為社會希望企業解決網絡安全問題。社會上會說:大企業,你有責任保護個人身份信息和資源之類的東西,如果你不履行這些責任,就會受到社會的懲罰。
然而 Wright 指出社會并不一定表現出對企業安全的盲目信任。他指出,有很多規定要求企業證明自己正在解決網絡安全需求,例如 2017 年紐約金融服務部 (New York Department of Financial Services) 對金融服務企業的網絡安全要求。此外,美國聯邦貿易委員會 (Federal Trade Commission) 在 2019 年決定要求 Facebook 首席執行官 Mark Zuckerberg 親自證明,他的公司正在努力保護消費者隱私。這一要求源于聯邦貿易委員會與 Facebook 就劍橋分析丑聞中 (Cambridge Analytica Scandal) 濫用用戶數據一事達成的和解。
研究人員、顧問和 CISO 們表示,他們不認為所有組織機構都需要簽署這樣的聲明,但他們預計未來會有更多這樣的規定。他們還一致認為,企業領導者必須向其利益相關者證明,他們正在努力保護IT系統及其中的數據。
你會逐漸贏得信任,只收集你需要的,根據要求終止,保護它并以道德的方式使用它。
培養信任
培養數字信任對于很多人而言可能是一場斗爭。
《2018年數字化轉型指數》(Digital Transformation Index) 調查了來自 40 多個國家的 4600 名商業領袖,他們來戴爾技術公司 (Dell Technologies) 以及其合作方 Intel 和 Vanson Bourne。調查發現發現 49% 的人 “擔心他們的組織機構將在5年內不值得信賴”。
調查還發現 91% 的企業 “正面臨著持續的數字化轉型障礙”,其中數據隱私和安全問題是頭號障礙,排在資源和技能限制(分別位列第二和第三)之前,加上法規和立法變化以及不成熟的數字文化構成了五大挑戰。
然而,Connors 和 Wright 等人認為,CISO 應該認識到他們有機會贏得信任。
他們表示 CISO 可以從自己的組織機構內部著手,與高層同事建立關系,將安全納入戰略討論中,并讓董事會按照他們希望的方式參與進來——CISO 在過去幾年里一直聽到這些建議。
Wright 表示從此以后,CISO 們可以考慮如何在明文規定,內部消息甚至公開聲明中闡明他們在安全和隱私方面的努力,指出 CISO 現在不僅必須與其他高管和董事會建立信任,而且還要與普通員工,商業伙伴、消費者、監管機構和整個社會建立信任。
Connors 對此表示贊同,人們對數字信任的反應會越來越強烈和敏感。人們希望與那些能夠處理好數據的人做生意,而那些處理不好數據的企業將會付出一定代價。
此外,消費者開始不斷詢問組織機構將會如何處理他們的數據、如何保護數據、在哪里使用這些數據以及為什么要共享數據等問題。CISO 最好將相關信息加入到回應此類問題的組織聲明和政策中。
不要只告訴別人你有政策。他們想知道數據的去向。證明你能夠進行合理的控制,Connors 解釋道,CISO 不僅可以通過展現他們在采取措施保護自己組織機構內部的數據,而且還在努力確保其業務合作伙伴及其利益相關者的安全來進一步培養信任。
然而,首席信息安全官不應該單槍匹馬去做這些。
CISO 的職責是提供一定程度的保密性、完整性和可用性,但這不僅僅是 CISO 的職責,這關系到整個組織如何建立信任。
普華永道在其數字信任報告中宣稱,這是一項值得努力的工作:能夠向互聯世界展示在保障、安全性、可靠性、隱私和數據倫理方面發揮領導作用的公司,將成為未來的巨頭。
信任是“指明燈”
咨詢公司 SideChannel Security 的合伙人、聯合創始人、前首席信息安全官 Brian Haugli 表示,很多 CISO 在建立信任時都面臨挑戰。
Haugli 表示 CISO 經常會遇到一種情況,就是業務同事仍然認為安全是提高速度和業務增長的障礙。而且 CISO 有時會發現,他們并不屬于早期戰略討論的一部分,而是在后期(安全更難整合的階段)被納入計劃中。
與此同時,Haugli 表示一些 CISO 可能不準備承擔建立信任的任務。這些 CISO 可能還不認為自己是業務推動者、關鍵顧問和戰略合作伙伴,而是止步于 CISO 角色的一個版本——主要專注于技術監督和安全工作。
實際上至少有一項調查表明,很多組織機構并沒有完全接受這一觀點。
The Cloudfathers:《財富500強》中一份由云訪問安全代理 (Cloud Access Security Broker, CASB) 供應商 Bitglass 于 2019 年 9 月發布的網絡安全分析報告,研究了《財富500強》 企業中面向公眾的涉及安全性的信息。分析發現,有 77% 的企業沒有說明誰應該對其安全策略負責,而有 52% 的企業在其網站上除了發布法律要求的隱私政策之外,對于他們如何保護消費者和合作伙伴的數據沒有任何說明。
另一方面,一些 CISO 已經將信任放在了整個安全功能的核心位置。
以 Omar Khawaja 為例,他是一家國家健康與福利組織 Highmark Health 的首席信息安全官。他將信任視為他和他的安全團隊的工作使命,并在 2019 年初重寫了安全計劃的宗旨,以更好地與公司的戰略愿景保持一致。
舊的宗旨談到了安全的三個商業目標——合規、隱私和效率,這三個目標是通過遵循 CIA 三要素實現的。
新的愿景聲明中寫道:我們的愿景是創造一個人們明確相信自己的信息是安全的世界。
Khawaja 表示,信任應該被當做指明燈,他解釋說他開始明白安全團隊的活動都是為了建立這種信任。
Khawaja 表示他是在幾年前開始參加更多與公司客戶的會議后領悟到這一點的。這些客戶看到越來越多的醫療機構遭到網絡攻擊和數據泄露,他們希望 Highmark Health 可以確保其數據的安全。
我帶著客戶了解了網絡的風險,我們對他們做了什么,他們應該對我們的處理方式有何感受。我一直覺得這些談話取得成功的前提是,他們認為自己的信息在安全的地方,他們覺得 Highmark 在數據處理方面做得很好。