正如h所指出的,CISO若想构建一个更为积极主动的安全计划,必须着眼未来。为了确保有足够的时间来实现这一目标,Goerlich每季度都会安排一次定期的外出会议,与团队一起讨论即将到来的变化。
他解释说:“这为我们建立了一个流程和节奏,帮助我们跳出日常琐事,从而能够看到更广阔的全局。我们从零开始,审视下一个季度可能发生的变化,思考我们需要为哪些情况做好准备。我们回顾过去,评估哪些做得好,哪些不足,然后设定目标,以便继续前进。”
Goerlich表示,他经常邀请外部安全专家,包括供应商高管和其他思想领袖,参加这些会议,听取他们对威胁演变的见解,以及新兴的安全工具和技术来应对这些威胁。有时,他还会邀请公司内部的高管同事,以便他们分享自己的计划和策略——这有助于确保安全工作与业务需求保持一致,推动企业前进。
他已经看到了这种努力带来的效果。他举例说明,在一次外出会议上,团队发现了其特权访问管理(PAM)流程中的挑战,特别是该流程所需的大量手动步骤。
“这是一个企业多年来逐步建立起来的流程,在当时看来完全合理,但随着时间的推移,情况发生了变化,流程不再运作良好。”Goerlich解释道。
因此,团队对PAM计划进行了重新设计,减少了步骤,并用新工具取代了旧工具,创建了一个更加自动化、高效且安全的流程。
Goerlich表示,这个例子说明了定期召开以预见性为重点会议的价值,以及采取主动措施如何转化为更好的安全性。他解释说,重新设计的PAM流程提高了操作效率,减少了安全团队为了支持依赖大量手动操作的传统流程所需的紧急应对工作量。
在企业内创建并掌控网络安全叙事
全球情报与网络安全咨询公司S-RM的美洲网络安全咨询主管Michael Clark表示,CISO面临的最大挑战之一是获得足够的支持和资源,以建立一个具备弹性的安全计划,该计划能够在未来的防护活动与响应能力之间取得适当的平衡。
Clark将这一问题很大程度上归咎于典型企业中当前的网络安全叙事状态,他表示,CISO的叙事往往通过另一位高管传达给董事会,而这位高管常常对威胁形势和企业的安全状况呈现出一个“更加乐观的画面”。
“CISO想要传达的信息并没有传达到董事会,”他说,并补充道,CISO需要一个与董事会沟通的渠道,“让他们能够以不被那个[沟通人]粉饰的方式提出他们的担忧。”
他说,这对领先一步至关重要。
“威胁和监管环境在变化,技术的复杂性也在不断演进。如果CISO得不到他们需要的支持,就很难在这些变化中保持领先地位。”他解释道。
能够向CEO和董事会清晰表达安全动态,并成功争取所需资源,这一直是CISO面临的长期挑战。
2024年SPMB Executive Search的调查数据反映了这一问题,调查发现,只有27%的CISO在2024年直接向CEO汇报(相比2023年的22%有所上升),且只有54%的CISO至少每季度向董事会汇报一次。调查还发现,5%的CISO根本不向董事会汇报。
尽管其他调查显示,向CEO和董事会汇报的CISO比例较高,但整体研究表明,CISO直接接触董事会的情况仍然并不普遍或频繁。
为了应对这些挑战并获得实施主动安全措施所需的资源,Clark建议CISO们“创造一种叙事,说明安全如何赋能业务、保护业务、支持品牌并提升投资者的信任。”
他说,CISO应该衡量并报告与风险相关的关键指标,展示这些安全措施如何与业务需求和战略保持一致,并支持它们。然后,利用这些信息讲述安全工作的故事,并指出需要改进的领域。
“领导者不希望向董事会传递负面信息,而CISO也不希望被指责为夸大其词,因此他们必须创造并掌控叙事。他们需要学会如何阐明自己如何支持业务、如何保护品牌,然后从另一个角度说明存在的问题、如何解决这些问题,以及如何优先处理这些工作。”Clark说道。
Clark曾与一位CISO客户合作,该客户向董事会汇报时说安全团队已经识别了98%的需要保护的终端,而没有说明如何识别剩下的2%,有多少终端得到了保护,这为什么重要,关闭保护缺口需要什么,以及不采取行动的风险。
“他们应该说,‘这是我们在当前预算下能做到的事情,如果我们想做更多或加快速度,这就是安全所需要的。’”Clark说道。
他补充道,这样坦诚的讨论更有可能让CISO获得他们所需的资源,以便实施安全措施,帮助他们领先于被动应对模式。
发表评论 取消回复