從預測新威脅到平衡風險管理和業務支持，CISO面臨一系列復雜的挑戰，需要不斷反思和戰略執行。

隨著首席信息安全官 (CISO) 地位和責任的提升，其最高安全角色的挑戰也愈發嚴峻。如今的CISO不僅要持續評估自身安全態勢，確定需要做出哪些調整才能充分保護組織，還必須與業務保持一致，以執行關鍵業務目標，并將風險管理相關的問題和權衡利弊置于公眾視野。

在個人責任成為真正問題的時候，為了履行這一日益復雜的職責，首席信息安全官不僅必須不斷評估他們的安全堆棧和態勢，還必須評估他們的團隊文化、整個業務的狀態和方向，以及他們在確保組織在無數現有和新興風險中蓬勃發展方面的地位。

在此，思想領袖提出10個最緊迫的問題，安全主管必須回答這些問題，作為其持續安全戰略和職業發展計劃的一部分。

1.是業務的推動者還是阻礙者？

全球咨詢公司 Protiviti 的董事總經理兼全球安全和隱私負責人Sameer Ansari表示，安全職能部門可能以“說‘不’的部門”而聞名，因此 CISO 應該思考他們和他們的團隊是否名副其實。

“首席信息安全官需要問自己：‘我被視為推動者還是阻礙者？’”他補充道。

安薩里解釋說，如果首席信息安全官發現高管同事回避他們，或者只在項目進入后期階段才與他們接觸，他們很可能會被視為業務目標的阻礙，而不是業務成功的推動者。同樣，如果首席信息安全官只是在辦公室閑聊中聽說了新舉措，而不是在規劃會議上以合作伙伴的身份參與，他們也可能被視為阻礙者。

安薩里指出，那些處于這種情況的人可以扭轉局面。

“不要直接拒絕任何想法。要通過咨詢的方式幫助他們做他們想做的事情，并且不帶任何評判，”他解釋道。“要讓企業了解風險，并讓企業自行決定愿意承擔多少風險。或者，如果風險超出了組織的風險承受能力，就說，‘讓我們升級這個問題。’”

2. 如何才能實現適合我們公司風險承受能力的安全平衡？

公共會計和咨詢公司 BPM 的 CISO Vandy Hamidi表示，為了發揮這種咨詢作用，CISO 也需要提出和回答這個問題。

“我的職責是降低風險，確保企業在高效服務客戶的同時，能夠自信地運營。如果我們把一切都鎖定，就會損害業務，讓用戶感到沮喪，并失去靈活性。但如果安全措施不足，公司就會面臨違規、監管風險和聲譽損害的風險。”他說道。“為了取得適當的平衡，我們專注于了解企業的運營方式、優先事項、挑戰和員工。這意味著我們需要跨職能合作，不僅要評估技術風險，還要評估運營影響。”

3. 向董事會提交的正確指標是什么？

Forrester Research 副總裁兼首席分析師Jeff Pollard表示， CISO 需要展示他們如何推動業務發展，這意味著要確定如何以董事會重視的方式衡量他們的工作。

他說，有關修補系統數量、平均響應時間和平均補救時間的數據并沒有讓董事會有任何理由認為安全有助于推動業務發展。

Pollard 說，CISO 不應該使用這些指標，而是應該找到能夠體現安全在支持業務目標方面所發揮的作用的指標，以及能夠幫助高管和董事會做出更好決策的指標。

4.網絡安全對組織意味著什么？

咨詢公司 S-RM 美洲網絡安全主管Paul Caron表示，CISO 還需要了解安全職能在組織中的位置，以便確定他們是否有權力影響正確的行動。

“很多時候，首席信息安全官 (CISO) 負責應對眼前的風險，但他們真的有能力應對這些挑戰嗎？他們會得到相應的支持和資源嗎？他們真的有高管層的支持來推動變革嗎？這些都是現在每個 CISO 都需要捫心自問和捫心自問的問題，”他說道。

在“首席信息安全官實際上要對組織未做好應對網絡事件的準備負責”的時代，卡隆表示，首席信息安全官必須知道他們是否擁有與這種責任相符的權力。

“他們應該重新評估一個組織如何看待風險管理，以及他們在決策層面擁有多少發言權。這些都是他們需要非常透明地對待的關鍵問題，”他說道，并補充道，“一個沒有權威的CISO是最糟糕的位置。”

5. 我是否有效地傳達了技術風險？

Protiviti 的安薩里表示，首席信息安全官還應該捫心自問，是否能夠以企業能夠理解的方式描述網絡安全風險。

他發現安全主管經常用技術術語談論風險，但與其他高管談論云容器安全性的缺乏或配置錯誤等問題，卻無助于他們了解風險所在。

“這會讓每個人都感到困惑。即使在今天，當董事會成員中有更多的人精通網絡技術時，他們仍然會問，‘這到底是什么意思？’”安薩里說。

他建議 CISO 考慮他們是否真的以企業能夠理解的方式講述安全和風險故事；他建議 CISO 向安全部門內外值得信賴的同事尋求反饋以幫助完成這項任務。

他補充道，這是值得的，因為能夠更好地講述故事的 CISO 能夠更有效地傳達業務風險，從而為他們帶來更多的權力、資源和與業務目標的一致性。

6.我的團隊是否有權挑戰我？

沒有任何一個人——即使是 CISO——能夠始終做出最佳決策，因此安全領導者應該歡迎有關其計劃不足之處的信息。

“所以他們必須捫心自問：我的團隊是否有權挑戰我的決定？我是否鼓勵異議？”安薩里說。

Ansari 建議，如果首席信息安全官們發現他們的團隊覺得自己不敢暢所欲言，可以通過鼓勵討論、積極應對挑戰和征求意見來改善職場文化。Ansari 補充說，簡單地問一句“我需要其他觀點”，就能有所幫助。

7. 我們的客戶希望我們為安全做些什么？

Pollard 表示，CISO 正在通過近年來激增的第三方安全問卷了解客戶的安全優先事項。這些問題讓 CISO 能夠深入了解客戶關心的問題，以及他們希望 CISO 所在的組織從安全角度采取哪些行動。

“如果你理解了這一點，你就可以構建安全的商業案例，”他說道，并解釋說，CISO 可以使用某些客戶尋求的安全控制成本以及這些客戶產生的收入來計算安全工作的價值。“CISO 需要弄清楚：有多少客戶向我們提出這樣的要求，以及這些要求帶來的收入是多少？”

8. 該組織的所有數據實際上存儲在哪里？

科技公司 Transcend 的常駐 CISO 兼 UnitedHealth Group 前 CISO Aimee Cardwell對提出這個問題的原因有著切身體會，她說道：“經驗以最痛苦的方式告訴我，數據存在于我從未見過的地方。”

例如，她發現敏感數據隱藏在發票文件夾、舊影子項目的服務器和數據庫中。她還指出，在公司收購和合并后，首席信息安全官 (CISO) 的數據可能存儲在未知位置。“然后你把人工智能融入其中，你可能會在不知情的情況下泄露數據，”她補充道。

瑪麗維爾大學約翰·西蒙商學院技術副院長兼網絡安全助理教授Brian M. Gant表示，CISO 需要不斷問自己：“組織中最有價值的數據在哪里？我們如何保護它？”以及“王國的鑰匙在哪里？”，以幫助他們解決這個問題并確保他們充分保護敏感數據。

全球咨詢公司SSA & Co. 應用解決方案負責人Nick Kramer也建議首席信息安全官 (CISO) 了解自身是否具備必要的洞察力，了解組織非結構化數據的存儲位置以及這些數據是否得到了適當的保護。例如，他建議 CISO 引導組織停止通過電子郵件發送附件，而是發送存儲在安全位置的文檔鏈接，將文件從員工設備轉移到相同的安全位置，并實施加密。

9. 人工智能將如何影響我的人員配置？

近年來，首席信息安全官們對其安全團隊進行了培訓，以支持業務團隊安全地使用人工智能。如今，隨著人工智能在安全部門中日益成為重要的工具，他們需要調整自身的人員配置策略。“他們需要探索，人工智能會對我的員工配置產生什么影響？我的組織將如何改變？” Pollard 說。

他表示，首席信息安全官 (CISO) 必須考慮團隊成員如何與人工智能 (AI) 代理協同工作，以及他們是否已做好有效應對的準備。他們還應該考慮安全運營中心的人員配置將如何變化。例如，Pollard 表示，人工智能可能會減少對入門級員工的需求，但可能意味著需要更多的二級分析師。如果一級 SOC 分析師崗位的招聘人數減少， CISO就必須思考如何招聘和培訓這些高級分析師。

10. 下一次可能令我感到意外的襲擊是什么？

“下一個漏洞或下一個威脅是什么？”SSA 的克萊默說，這是一個需要提出和回答的關鍵問題。當然，首席信息安全官們長期以來一直擔心零日漏洞。他們必須繼續擔憂。但他們也需要考慮，不斷演變的攻擊面和日益復雜的攻擊者可能會幾乎瞬間在他們的安全計劃中制造漏洞。

Transcend駐地CISO卡德威爾表示：“我最大的恐懼始終是我不知道的事情，我會在哪里感到驚訝。”

為了緩解這種擔憂，瑪麗維爾大學的甘特建議首席信息安全官們問自己“我的攻擊面是什么？”和“誰在追蹤我，為什么？”，并根據這些問題的答案制定適當的計劃來保護數據和系統。

根據FS-ISAC的Denning的說法，另一個需要問的問題是：我是否擁有適合用途且面向未來的防御技術堆棧？

他補充道：“強大的新工具正在為不法分子提供武器，使其能夠更有效地實施欺詐、勒索軟件和DDoS攻擊等威脅。首席信息安全官需要評估自己是否擁有合適的工具和人才來對抗這些威脅并應對新興威脅。”

例如，Denning表示，CISO應該清點他們的加密資產，為量子改變他們所有計劃的那一天做好準備。

Kramer表示，首席信息安全官 (CISO) 需要付出更多努力才能領先于未來。他建議CISO任命專人負責前瞻性研究，就像CTO通常安排專人研究新興技術一樣。

“首席信息安全官們都在展望未來，但他們往往在等待其他人弄清楚情況并告訴他們該怎么做，這意味著修復方案往往取決于一些成功的攻擊，”Kramer 說。“但如今，你必須具備實驗的眼光，真正嘗試弄清楚下一步該怎么做，或許可以使用模擬工具來尋找新的攻擊面。”

來源：PeopleImages.com - Yuri A / Shutterstock