与信息安全风险相关的趋势和发展使得企业越来越需要在最高层设立一个与首席技术官地位相当的新职位—首席信息安全官。
网络攻击已经成为公司潜在的致命伤。网络威胁的散布范围变得更广,变得更有针对性,而且还在不断进化。一方面,坏人变得更加“专业”,手法更加复杂;另一方面,由于企业本身的性质导致新的薄弱环节被暴露。由于传统的“护城河”式防御方法无力抵挡信息安全威胁,企业内网络安全的职能正在逐渐成熟,首席信息安全官(CISO)的角色定位也因此迅速进化。有几个宏观趋势正跨越行业和地域,推动企业处理信息风险和安全的手法发生转变。· 从基础设施转移到软件,公司越来越依赖第三方来保障其基础设施(计算、数据存储和网络);· 从注重“严守边界”转向确保数据资产本身,在公司的掌控范围内外保护这些资产的安全;· 从“要么安全,要么不安全”的非黑即白式判断,转为根据数据敏感性和操作要求,对信息安全保护和数据可用性打分;· 从注重企业内部的方针,转变为以客户和产品为中心的方针;· 从偏好秩序与安全的文化,转变为学习、协作和结果优先的文化。这种转变对组织产生了重要的影响,包括他们需要什么样的信息安全领导者,应该去哪里寻找这些领导者,应该如何评估高管(特别是公司有必要内部调动高管时),以及该如何利用公司现有的人才库培养出未来的领导者。我们观察到,最开明、最成功的组织往往会在其信息风险和安全领域走向成熟时开展以下工作:利用分析和自动化来预测、检测和规避风险。成熟度更高的安全组织正在分析能力、人工智能(AI)和其他自动化、智能化系统方面进行投入,以帮助指导信息安全规划和响应措施。“我们做的最大的一件事就是创建了专门的威胁和漏洞分析团队,他们的工作就是了解威胁和漏洞是如何在当下和未来一段时间内形成的,这有助于定义角色的演变,以及未来几年我们需要在战略上做什么。”美国德美利证券首席技术官洛乌·施泰因贝格(LouSteinberg)说。创建一种组织文化,让信息安全“人人有责”。即使在几年前,信息安全在许多企业中也被视为后端职能。随着企业意识到安全软件可以成为竞争优势,以及在企业声誉风险规避上可以带来十分诱人的“投资回报”,这种情况已经大为改观。信息安全与其他职能部门之间的关系改变了,在重要举措上的合作有所增加。因此,安全审查不再是产品发布前的最后一站;安全被嵌入到开发团队中。组建多样化、重点突出的安全团队,以解决问题为导向。网络威胁的进化速度非常快,如果团队中只有具备丰富IT安全经验的人,反倒可能会成为明显的劣势,因为他们更依赖过去行之有效的策略,哪怕漏洞和威胁已经发生了变化。例如,Facebook会从内部寻找一系列可能对安全有兴趣的主题专家,然后对他们进行该学科的培训。这增加了安全团队的智力多样性,也增加了性别和种族的多样性。制定对公司有意义的信息安全和风险指标。通过将信息安全方面的投资与经过衡量的风险降低效果对应,企业就可以将其与特定的安全漏洞联系起来,评估信息安全支出的投资回报率。“而这也推动了我们做出很多决策,决定要将资源投入到哪里,”施泰因贝格说。让透明公开的立场成为常态,并确定明确的应对措施。过去很多企业会本能地隐藏安全漏洞的消息。考虑到社交媒体的盛行,如今这么做的难度就高多了,所以成熟的公司都有一个应对计划。“在这个时代,你无法隐瞒任何事情。如果处理不当,非常小的事件也可能会引发大问题。人们会在推特上发布相关信息。记者和监管机构会提出质疑,”巴克莱首席安全官特勒尔斯·厄尔廷(TroelsOerting)说,“首席安全官或首席信息安全官的作用不仅仅是消除威胁,还包括处理危机和后遗症。”与过去相比,公司更有可能互相就信息安全的漏洞提醒对方,甚至是竞争对手,因为这样他们可以彼此借鉴,甚至携手抵御攻击。信息安全领域的成熟催生了一类新型网络安全领导者:既具有深厚的技术功底,又具有高度的战略眼光;不仅了解业务,还能熟练地与人沟通。
“随着技术对公司的成功发挥着越来越关键的作用,首席信息安全官已经从更直接的技术角色(管理防火墙以及IT事务中的安全部分)变为负责更大范围的风险管理,包括了解技术会以何种方式对公司其他部门和业务带来风险。”Facebook首席安全官亚历克斯·斯塔莫斯(AlexStamos)说。为了做好这项工作,首席信息安全官必须能够与其他高级领导以及董事会进行有效的沟通,通过清晰、一致的沟通内容来赢得信任,同时也要有足够的换位思考能力,能够从商业的角度谈论风险和安全问题。“这类更成熟的首席信息安全官是社交达人,他们非常善于协作。他们对同行面临的挑战很感兴趣。在谈论问题时,他们能够提供非常全面的观点。即使是在发生信息安全事件时,他们也不会急于找替罪羊,而是关注如何解决问题。”汤森路透公司安全运营、战略和架构副总裁理查德·帕克特(RichardPuckett)说。如今,拥有这些技能的信息安全领导者的人才有限。有鉴于此,企业正在探索创造性的解决方案,比如任命多位联合首席信息安全官,让其技能互补;或者任命一位“总担纲者”负责信息和技术风险,让他制定战略,并与董事会接触,下面再安排一位更深入一线的首席信息安全官,专注于网络安全。还有一些公司则把其他学科的技术领导者(如首席信息官、首席技术官和高级工程领导者等)提升为负责网络安全的高层角色。“有一些非常优秀的基础架构的管理者可以蜕变为优秀的首席信息安全官,因为他们的个性就适合不断质疑,不断创新,了解威胁评估的细节。但管理基础架构的其他一些高管可能就不是很适合。”一位首席信息安全官说,“现在的挑战是如何判断哪些性格特征有助于(管理者)胜任这些角色。”各组织还在探索首席信息安全官这一角色的各种报告结构。德美利证券首席技术官施泰因贝格赞成将首席信息安全官置于技术组织内,向首席信息官报告,这样信息安全和技术的目标就能保持一致。“现在的信息安全领域的技术性很强,而且事态的进展非常迅速,如果在执行人员(设计和开发控制措施)和负责政策的人员(确定对控制措施的需求)之间存在任何形式的分离,都会引发严重的问题。如果你从组织架构上把他们分离,沟通渠道就断了,无法获得密切的反馈。”其他人,比如Facebook首席安全官斯塔莫斯,认为首席信息安全官不应该总是向首席信息官汇报,应当保持一定程度的独立性,从而有效地监督IT组织。对其他人来说,问题不在于首席信息安全官应该向谁汇报,而在于这一角色该向谁负责。事实上,越来越多的首席信息安全官需要向董事会或董事会的审计或风险委员会负责,同时也要向其上级管理者负责。由于首席信息安全官打破了他们的职能框框,且能影响到各种执行职能(工程设计、数字化、数据、风险甚至销售),同时还会定期跟董事会打交道,因此,未来的领导者的上升路线出现了“界限模糊化”。与以往相比,下一代的首席信息安全官可能会更全能、级别更高、更直接地面向业务和企业外部,但在很多情况下,仍然是高度技术性的角色。“向物联网的迁移正在将数据推向云端,一旦实现,就需要在云端进行保护。这是一个很好的例子,说明了为什么企业在这个领域需要战略家,因为突然间你不得不保护在企业围墙之外的数据,”德美利证券首席技术官施泰因贝格说。汤森路透公司的副总裁帕克特认为,随着首席信息安全官的崛起,其直接员工需要更多地接触到业务发展、客户沟通、业务规划和商业能力的连续性。“这些都是侧重以后端、以IT为中心的新安全团队有所不足的典型领域。”对许多人来说,学会在自己所属的职能之外发展关系,并与董事会和C级高管适度沟通网络风险和解决方案,可能是胜任首席信息安全官角色的过渡阶段最棘手的部分。
原文经许可,摘自Spencer Stuart的PeterH.Hodkinson和TarunR.Inuganti发表的《The Evolution of Leadership in Information Riskand Cybersecurity》一文。原文由Spencer Stuart发表在www.spencerstuart.com上。SpencerStuart于2017年登记版权。秦岭译。
PeterHodkinson是SpencerStuart的金融服务与技术官员业务的常驻纽约的成员,并参与领导公司的网络安全业务。TarunR.Inuganti是公司的数字化、技术、媒体与电信及技术官员业务的顾问。
本中文版由世界经理人(www.ceconline.com)组织翻译并编辑。