從預見新威脅到平衡風險管理與業(yè)務賦能，CISO面臨著一系列復雜的挑戰(zhàn)，這些挑戰(zhàn)需要他們持續(xù)反思并戰(zhàn)略性地執(zhí)行。

隨著CISO地位的提升和責任的加重，企業(yè)對這一頂級安全角色的要求變得更加嚴苛，除了需要不斷評估其安全態(tài)勢以確定如何做出適當調整來充分保護企業(yè)外，如今的CISO還必須以某種方式與業(yè)務保持一致，以強化關鍵業(yè)務目標——并將風險管理的問題和權衡置于聚光燈下。

為了在個人責任成為真正關切的時候履行這一日益復雜的職責，CISO必須不斷評估的不僅僅是其安全堆棧和態(tài)勢，還有其團隊的文化、業(yè)務的整體狀態(tài)和方向，以及他們在確保企業(yè)在眾多現(xiàn)有和新興風險中蓬勃發(fā)展方面的位置。

在此，思想領袖們提出了安全主管在持續(xù)的安全戰(zhàn)略和職業(yè)成長計劃中必須回答的10個最緊迫的問題。

1. 我是業(yè)務賦能者還是阻礙者?

安全職能有時可能被視為“‘不’的部門”，因此CISO應該思考自己和團隊是否真的如此，Protiviti全球咨詢公司的常務董事兼全球安全與隱私負責人Sameer Ansari說道。

“CISO需要問：‘我是被視為賦能者還是阻礙者?’”他補充道。

Ansari解釋說，如果CISO發(fā)現(xiàn)其執(zhí)行同事避開他們或只在項目后期階段才與他們接觸，那么他們很可能被視為業(yè)務目標的阻礙者而非業(yè)務成功的賦能者。同樣，如果CISO是通過辦公室閑聊而非作為規(guī)劃會議中的伙伴得知某些倡議的，那么他們也可能被視為障礙者。

處于此類情況的CISO可以扭轉局面，Ansari指出。

“不要只是否決想法，要以咨詢的方式幫助他們實現(xiàn)目標，并且不要做出評判，”他解釋道，“向業(yè)務部門傳授風險知識，并讓業(yè)務部門決定要承擔多少風險，或者，如果這超出了企業(yè)的風險容忍水平，那么就說，‘讓我們升級處理這個問題吧。’”

2. 我們如何為公司風險容忍度實現(xiàn)正確的安全平衡?

為了扮演好咨詢角色，CISO還需要提出并回答這個問題，公共會計和咨詢公司BPM的CISO Vandy Hamidi說道。

“我的角色是降低風險，使業(yè)務能夠自信地運營，同時有效地服務客戶。如果我們把一切都鎖得太緊，就會損害業(yè)務，讓用戶感到沮喪，并失去敏捷性，但如果我們保護不足，就會使公司面臨泄露、監(jiān)管風險和聲譽損害，”他說道，“為了達到正確的平衡，我們專注于了解業(yè)務的運營方式、其優(yōu)先級、挑戰(zhàn)以及人員，這意味著要跨職能合作，不僅要評估技術暴露，還要評估運營影響。”

為了做到這一點，Hamidi的團隊與業(yè)務領導者和同事緊密合作，在確保客戶和企業(yè)數(shù)據(jù)得到充分保護的同時，將安全與業(yè)務保持一致。“這不僅僅是關于技術保障;而是關于建立信任、用業(yè)務術語傳達風險，并使安全成為戰(zhàn)略賦能者而非阻礙者。”他說道。

金融服務信息共享和分析中心(FS-ISAC)的CISO John Denning表示，CISO還可以問自己：“安全是否在支持業(yè)務的同時保護客戶和客戶?”

“CISO需要平衡這兩者，”他說道，“例如，我們正在看到‘智能摩擦’的興起——即在用戶體驗中戰(zhàn)略性地放置障礙物，以增加安全性并減緩支付授權。”

3. 應該向董事會呈現(xiàn)哪些合適的指標?

CISO需要展示他們是如何賦能業(yè)務的，這意味著要找出如何以董事會認為重要的方式衡量他們的工作，F(xiàn)orrester Research的副總裁兼首席分析師Jeff Pollard說道。

他表示，關于已修補系統(tǒng)數(shù)量、平均響應時間和平均修復時間的數(shù)據(jù)并不會讓董事會認為安全有助于推動業(yè)務發(fā)展。

相反，CISO需要找出能夠說明安全在支持業(yè)務目標方面作用的指標，以及能夠使高管和董事會做出更好決策的指標，Pollard說道。

4. 網絡安全對企業(yè)意味著什么?

CISO還需要了解安全職能在企業(yè)中的位置，以便他們能夠確定自己是否有權力影響正確的行動，咨詢公司S-RM美洲區(qū)網絡安全負責人Paul Caron說道。

“很多時候，CISO負責應對眼前的風險，但他們是否真的處于能夠應對這些挑戰(zhàn)的位置?他們是否會得到相應的支持和資源?他們是否真的擁有執(zhí)行級別的支持來成為變革的推動者?這些都是現(xiàn)在每個CISO尤其需要問自己和他人的問題，”他說道。

在“CISO實際上要對并為企業(yè)未做好應對網絡事件的準備而負責，甚至可能被追究責任”的時代，Caron表示，CISO必須知道他們是否擁有與責任相匹配的權力。

“他們應該重新評估企業(yè)如何看待風險管理，以及他們在決策桌上被賦予了多少話語權。這些都是他們需要對自己非常透明的關鍵問題，”他說道，并補充說，“沒有權力的CISO是最糟糕的位置。”

5. 我是否有效地傳達了技術風險?

CISO還應該問自己是否能夠以業(yè)務能夠理解的方式闡述網絡安全風險，Protiviti的Ansari說道。

他看到安全主管們經常用技術術語談論風險，但與其他高管談論缺乏云容器安全或配置錯誤等問題，并不會幫助他們理解其中的利害關系。

“那會超出所有人的理解范圍。即使現(xiàn)在董事會中有更多對網絡有所了解的成員，他們仍然會問，‘這到底意味著什么?’”Ansari說道。

他建議CISO考慮自己是否真的在用業(yè)務能夠理解的方式講述安全和風險故事，他建議CISO向安全部門內外值得信賴的同事尋求反饋以幫助完成這項任務。

他補充說，這是值得努力的，因為講述更好故事的CISO在傳達業(yè)務風險方面更有效，這會使他們獲得更多權力、資源和與業(yè)務目標的一致性。

6. 我的團隊是否感到有權力挑戰(zhàn)我?

沒有一個人——即使是CISO——能夠始終做出最佳決策，因此安全領導者應該歡迎有關其計劃不足的信息。

“所以他們必須問自己：我的團隊是否感到有權力挑戰(zhàn)我的決策?我是否在鼓勵異議?”Ansari說道。

Ansari建議，發(fā)現(xiàn)團隊不認為自己可以發(fā)聲的CISO應該通過鼓勵討論、積極回應挑戰(zhàn)和征求意見來改善其工作場所文化。Ansari補充說，簡單地問一句“我需要其他人對這個問題的看法”就可以有所幫助。

7. 我們的客戶希望我們在安全方面做些什么?

CISO正通過近年來激增的第三方安全問卷從客戶那里了解其安全優(yōu)先級，Pollard說道。這些問題使CISO能夠洞察客戶關心的內容以及他們希望CISO的企業(yè)從安全角度采取的措施。

“如果你了解這一點，就可以為安全構建商業(yè)案例，”他說道，并解釋說CISO可以使用某些客戶要求的安全控制的成本以及這些客戶產生的收入來計算安全工作的價值。“CISO需要繪制出這個圖表：有多少客戶向我們提出了這個要求，以及他們的收入是多少?”

8. 我們企業(yè)的所有數(shù)據(jù)實際上都存儲在哪里?

科技公司Transcend的駐場CISO兼前UnitedHealth Group的CISO Aimee Cardwell深知提出這個問題的原因，她說道：“經驗以最痛苦的方式告訴我，數(shù)據(jù)就在某個我沒看到的地方。”

例如，她發(fā)現(xiàn)敏感數(shù)據(jù)隱藏在發(fā)票文件夾中以及來自舊影子項目的服務器和數(shù)據(jù)庫中。她還指出，在公司收購和合并后，CISO可能在未知位置有數(shù)據(jù)。“然后你再將AI融入其中，就可能會泄露你甚至不知道的數(shù)據(jù)，”她補充道。

Maryville大學John E. Simon商學院副院長兼網絡安全助理教授Brian M. Gant表示，CISO需要不斷問自己：“我們企業(yè)最有價值的數(shù)據(jù)在哪里，以及我們如何保護它?”和“‘王國’的鑰匙在哪里?”以幫助他們解決這個問題并確保充分保護敏感數(shù)據(jù)。

全球咨詢公司SSA & Co.的應用解決方案主管Nick Kramer也建議CISO問自己是否對企業(yè)中非結構化數(shù)據(jù)的存儲位置有足夠的了解，以及這些數(shù)據(jù)是否得到了適當?shù)谋Ｗo。例如，他建議CISO讓企業(yè)不再通過電子郵件發(fā)送附件，而是發(fā)送鏈接到存儲在安全位置的文件，將文件從員工設備中移出到這些相同的安全位置，并實施加密。

9. AI將如何影響我的人員配置?

近年來，CISO已經培訓了其安全團隊以支持業(yè)務團隊對AI的安全使用。現(xiàn)在，隨著AI在安全部門內部成為越來越重要的工具，他們需要調整自己的人員配置策略。“他們需要探索AI對我人員配置的影響是什么?我的企業(yè)將如何不同?”Pollard說道。

他表示，CISO必須考慮其團隊成員將如何與AI代理協(xié)同工作，以及他們是否準備好有效地這樣做。他們還應該考慮安全運營中心(SOC)的人員配置將如何變化。例如，Pollard表示AI可能會減少對入門級員工的需求，但可能意味著需要更多二級分析師。這要求CISO思考如果更少的二級SOC分析師來自一級分析師職位，他們將如何招募和培訓這些高級分析師。

10. 下一個可能讓我感到意外的攻擊是什么?

“下一個漏洞或下一個威脅是什么?”SSA的Kramer表示，這是需要提出并回答的關鍵問題。

當然，CISO長期以來一直擔心零日漏洞，他們必須繼續(xù)這樣做，但他們還需要考慮不斷演變的攻擊面和攻擊者日益增長的復雜程度如何幾乎瞬間就在他們的安全計劃中留下漏洞。

“我最害怕的總是我不知道的事情，我會在哪里感到意外。”Transcend的駐場CISO Cardwell說道。

為了緩解此類恐懼，Maryville大學的Gant建議CISO問自己：“我的攻擊面是什么?”和“誰在攻擊我以及為什么?”并使用答案來制定保護數(shù)據(jù)和系統(tǒng)的適當計劃。

FS-ISAC的Denning表示，另一個需要問的問題是：“我的防御技術堆棧是否適合當前需求并面向未來?”

“強大的新工具正在武裝不良行為者以實施更有效的欺詐、勒索軟件和分布式拒絕服務(DDoS)攻擊等威脅，”他補充道，“CISO需要評估他們是否擁有對抗這些威脅并應對新興威脅的正確工具和人才。”

例如，Denning表示CISO應該對其加密資產進行盤點，以準備應對量子計算可能改變所有計劃的那一天。

Kramer表示，CISO需要采取更多措施來領先于未來。他建議CISO任命工作人員來前瞻未來，就像首席技術官通常有人來研究新興技術一樣。

“CISO正在向前看，但往往他們是在等待其他人弄清楚并告訴他們該怎么做，這意味著修復措施是因為某些成功攻擊而確定的，”Kramer說道，“但現(xiàn)在你必須有一個實驗的視角，并真正嘗試找出下一步是什么，或許可以使用模擬工具來發(fā)現(xiàn)新的攻擊面。”