洞察:安全旨在降低風險而不是隔絕風險
責編:gltian |2020-09-07 14:58:07
企業戰略集團(ESG)最近的一項研究發現,CISO平均任期為2至4年。為什么很多安全專業人員的任期短暫?原因多種多樣,各家公司的安全職位設置和要求不同就是原因之一。很多公司企業面對不斷發展變化的安全與風險策略,獲得安全職業成功的關鍵競爭力自然也隨之變化。十幾年來,CISO角色方面的成功該是什么樣子一直眾說紛紜,這種模糊不清的狀態常常引發誤解、錯誤期待和職業倦怠,個中原因不僅有層出不窮的安全挑戰,更是因為公司上下缺乏對CISO職位的清晰定義與期待。
重大數據泄露事件曝光、合規要求公布,以及圍繞數據隱私權的持續討論,開拓了高管層和董事會的眼界,凸顯出CISO角色的重要性。很多高管和董事會成員將網絡安全投資視為保險費,旨在避免數據泄露,經常對見諸報端的重大漏洞或情報界數據泄露反應過度。這導致高管和董事會要求CISO確保公司免遭此類重大數據泄露事件侵擾,卻忽視了這些事件僅占常見網絡威脅1%的事實,對公司更有可能遭遇的常見網絡攻擊場景缺乏認知,更遑論重視抵御這些攻擊所需的防御工作和安全投資了。
明確性的缺乏導致對CISO角色的誤解和認知各異。CISO職位描述因公司規模、業務性質、是否上市等因素而異。何謂成功CISO一直是企業諱莫如深的謎團之一。某些公司里,CISO負責從企業風險、合規、服務生產到部署的所有內容,而且通常要在人手不足、預算缺乏的情況下履行自身這諸多職責,無論這些業務期望多么不同尋常。
有了CISO之后就想百分之百的網絡安全是不現實的。他們的職責應是根據公司的業務目標、支持資源和運營預算,合理安排公司的安全投資。定義合理、支持良好、執行正確的安全項目,旨在最小化業務風險,而不是實現零風險。除了負責管理公司安全和合規,許多CISO發現自己還兼顧業務開發、客戶獲取、客戶保留、員工發展和員工保留的工作。
就CISO職能而言,公司安全意識培育和職業發展是被低估的一個重要方面。與其他業務主管一樣,CISO在人才保留和人才培養方面承受著巨大的壓力。網絡安全人才供不應求,因此安全主管應與其員工密切合作,確保人才發展,從而提高人才保留率。在已經資源緊張和預算有限的公司中,安全人才流失會加大實現既定業務目標的難度,增加CISO所承受的壓力。
現代CISO是否能夠平衡對自身角色的巨大需求?這諸多要求往往伴隨著高管和董事會在風險方面缺乏明確協調、資源和預算不足,以及超出風險緩解任務之外的業務壓力。這些都是導致CISO職業倦怠的主要因素。
安全社區和業務主管必須共同努力,積極塑造CISO角色,并確保CISO取得成功。先從投入時間了解安全需求開始,然后商定業務風險容忍度。一旦確定了風險容忍度,考慮到CISO承受的額外壓力,對安全項目進行資源和資金支持至關重要。公司的安全目標不僅是降低業務風險,而且要在消除CISO職業倦怠風險的情況下做到這一點。CISO這一行政職位可是越來越難以招聘和保留了。
ESG研究報告:
https://www.esg-global.com/hubfs/issa/ESG-ISSA-Research-Report-Abstract-Life-of-Cybersecurity-Professionals-Nov-2017.pdf
來源:數世咨詢