浅谈首席信息安全官的职责
作者:星期三, 十月 15, 20140

00

右为雅虎前首席安全官贾斯汀·索曼尼

时至今日信息安全对公司而言已经不是奢侈品,而是必需品。没有或不愿重视信息安全的公司都应该整理一张包含塔吉特公司和家得宝公司的风险清单,是时候聘用CISO(首席信息安全官)并认真对待安全问题了。

在过去一段时间里,所有财富500强类的大公司,甚至中等规模的组织,都仅仅依靠一个高级管理--首席信息官角色来关注安全。 安全在CIO的职责范围内,属于CIO一长串责任和工作要求中的一个要点。

安全已被忽略了很长一段时间,不过,公司不重视安全,就会有坏人替你重视。看看在塔吉特公司和最近在家得宝公司发生的事件。这些公司存在非常严重的安全漏洞,可以让攻击者长期获取敏感支付数据,在塔吉特是几星期,在家得宝是几个月。想一想,攻击者渗透了家得宝最敏感的一个系统长达几个月,却是在银行劝说他们去好好检查系统时,他们才真正发现了漏洞,并开始整改。

CIO们在他们的职责范围内有这么多项目、问题和计划,他们只能逃避部分责任,比如支持系统的安全配置,监控已实施的网络和设备的完整性。此外,CIO可能不具备应对安全威胁和变化的安全形势所需的专业技术或继续教育知识。

无论CISO向谁汇报,CIO或者更高,首席运营官(COO),他/她应该独立管理当前的安全配置文件,并确保加强网络和系统的持续、高效运作。CIO应该对业务和IT操作负责,而CISO可以关注组织的薄弱之处。

CISO的职责可等分为规划、批准和沟通

在理想情况下,每个公司都将有一个CISO,他/她负责以下工作目标并拥有以下能力。

漏洞响应和处置的责任。如前面所述,要不是第三方干预,Home Depot的漏洞现在可能仍然存在。漏洞发现后过了一个多星期,Home Depot才正式承认被渗透,在之后的第二周,面向顾客的处置计划才被实施。你肯定想知道这个美国第三大零售商的内部委员会一直以来都在干什么,以及被聘请去帮助弥补漏洞的咨询公司在去掉官僚做事习气方面是否有效。

CISO的首要紧急任务是确保不出现像Home Depot和Target那样的漏洞,这不该是CIO的职责。实际上,如果漏洞出现,CISO应该以身作则,责无旁贷。理想情况下,CISO将获得授权和预算来快速有效的应对漏洞,而不是在危险过去、漏洞问题缓和前,陷入官僚报告和繁文缛节中。

咨询、审批或验证现有的IT投资计划。CIO可能雄心勃勃的计划做一大堆事情,开展大量的项目,但CIO可能没有充分考虑那些项目和政策的安全影响。更糟糕的是,在组织的传统工作流程或项目流程中,可能没有任何步骤来关注计划的安全性和完整性,也可能没有一个人具备足够的专业知识对计划及其安全影响做出可靠的评估。在这种情况下,Bring your own device(BYOD)策略开始被考虑,基于客户导向的“影子”云存储产品(如Dropbox和OneDrivey)也被用于专业化和企业中。

理想情况下,CISO将有责任严格评估各项计划、预定服务及其用途。他/她将有能力和授权从安全的角度去验证一个方案能否被批准,并要求修改计划以降低安全方面的缺点;在某些情况下,甚至可以反对或否决这个方案,如果方案中确定存在无法补救的严重安全问题。

具备敏锐和洞察力,可以言简意赅且有效的与利益关系者沟通。安全漏洞从本质上讲是技术,然而,技术复杂性并不会减少高级领导团队、董事会和感兴趣的第三团体对CISO提出的问题。

CISO必须能够从根本上去理解安全问题,是否违反了当前的投资计划;然后以简短且可以理解的方式与利益关系者沟通问题的严重程度和处置建议。CIO并不总是具备这两个技能,即使他/她具备,以上情况可能把CIO置于一个奇怪的境地,反对他/她发起的方案,扼杀创新和创造力。

没有人会真正想听CISO说话,就像没有人想让听内部审计人员找上门来谈话。但一位有影响力的CISO也是一位执行者,对技术有深刻理解,同时有归纳各种技术的能力,然后有效的倡导需要做什么或制定什么决策。

随着2015年即将发布的关于支付卡处理网络的新规定,包括芯片、PIN码和签名处理的很多发展,以及很多销售点和金融设备仍在运行的Windows XP下线,前方存在着安全截止期限与里程碑的执行风暴。将所有这些问题推到CIO身上只是在自找麻烦。CISO是从CIO分离出的角色,对任何公司而言都是一个明智的投资。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章