盡管每位高管都面臨著高壓選擇,但CISO尤其需要應(yīng)對那些可能對其企業(yè)和職業(yè)生涯產(chǎn)生重大影響的權(quán)衡取舍。
CISO們越來越需要為那些他們并不總是擁有完全控制權(quán)的安全結(jié)果負(fù)責(zé),他們深知這一動態(tài)。根據(jù)《2024年LevelBlue未來報告:網(wǎng)絡(luò)彈性》,“73%的CISO表示擔(dān)心網(wǎng)絡(luò)安全會變得難以管理,需要承擔(dān)高風(fēng)險的權(quán)衡,而相比之下,只有58%的CIO和CTO有此擔(dān)憂。”
此外,隨著責(zé)任的增加,CSO和CISO更加需要將他們的安全策略與業(yè)務(wù)目標(biāo)保持一致,這在確定安全指令與支持加速業(yè)務(wù)創(chuàng)新需求之間的界限時產(chǎn)生了額外的緊張關(guān)系。
為了幫助你更好地平衡作為安全高管和業(yè)務(wù)高管的相互競爭利益,以下是每位CISO必須考慮的關(guān)鍵權(quán)衡,以及來自安全領(lǐng)域同行和行業(yè)專家的建議,旨在促進(jìn)業(yè)務(wù)和職業(yè)發(fā)展的雙贏。
1. 在更大業(yè)務(wù)背景下重新校準(zhǔn)風(fēng)險容忍度
盡管大家都在談?wù)撆c業(yè)務(wù)保持一致,但CISO們普遍反映高層管理團(tuán)隊在風(fēng)險問題上存在不一致。根據(jù)網(wǎng)絡(luò)安全供應(yīng)商Netskope的《現(xiàn)代CISO:平衡之道》調(diào)查,92%的CISO表示,對風(fēng)險的不同態(tài)度導(dǎo)致了與更廣泛高層管理團(tuán)隊的緊張關(guān)系,66%的CISO形容自己處于“走鋼絲”的狀態(tài),需要在業(yè)務(wù)需求和安全合理性之間找到平衡。
科技公司Pendo的CISO Chuck Kesler表示,他不得不在風(fēng)險問題上尋找中間立場。“這既是業(yè)務(wù)教育我了解其需求,也是我教育業(yè)務(wù)了解風(fēng)險的過程。”他說。Kesler承認(rèn),在評估業(yè)務(wù)目標(biāo)、對這些目標(biāo)相關(guān)風(fēng)險的初步評估以及已實施的安全控制后,他過去不得不“重新校準(zhǔn)”自己的風(fēng)險容忍度。
安永全球咨詢網(wǎng)絡(luò)安全負(fù)責(zé)人Richard Watson表示,這種情況很常見。“CISO們經(jīng)常自問:‘我能容忍多少風(fēng)險?’這是我們收到最多的問題。”他說。
2. 在預(yù)算限制下權(quán)衡安全投資
與風(fēng)險權(quán)衡緊密相關(guān)的是CISO在安全投資方面必須應(yīng)對的挑戰(zhàn)。“對于大多數(shù)CISO來說,當(dāng)他們必須做出艱難選擇時,99%的情況下是由于預(yù)算限制迫使他們權(quán)衡風(fēng)險與回報。”網(wǎng)絡(luò)安全咨詢公司MorganFranklin Cyber的董事總經(jīng)理John Allen說。
鑒于沒有CISO擁有無限的預(yù)算,Allen表示,他們經(jīng)常詢問如果不進(jìn)行某個期望的安全項目(其價格超出預(yù)算)會發(fā)生什么,然后嘗試將其納入預(yù)算或如果無法實現(xiàn)則擱置。《Panorays 2025年CISO調(diào)查》提供了一個具體例子:98%的受訪安全領(lǐng)導(dǎo)者表示,由于資源有限,他們不得不留下至少10%的第三方漏洞未解決。
CISO在其他領(lǐng)域也因預(yù)算限制而做出艱難權(quán)衡,國家大學(xué)網(wǎng)絡(luò)安全中心主任Chris Simpson說。他們有時會在檢測和事件響應(yīng)上的投入少于期望,而更傾向于預(yù)防上的投入;或者他們在合規(guī)和監(jiān)管要求上的投入超過期望,因為必須如此,導(dǎo)致在其他期望的安全投資上投入減少。
每位CISO的企業(yè)都有其獨特的背景來權(quán)衡預(yù)算取舍,研究表明,并非所有的削減都是平等的,在某些環(huán)境下的某些選擇對組織風(fēng)險的影響更大。
3. 渴望但得不到理想的‘凱迪拉克’工具
安永的Watson表示,CISO經(jīng)常在安全工具上做出妥協(xié),指出“想要最好的一切的CISO不會每次都贏。”
Pendo的Kesler深有體會,他曾看中一款具有眾多功能和特性的云安全態(tài)勢管理工具,該工具能解決一系列風(fēng)險,他將其視為“凱迪拉克選項”,但就像實際的凱迪拉克一樣,這款安全工具價格不菲,最終,Kesler不得不接受這樣一個事實:該平臺的許多功能是“有了更好”而非“必須擁有”。“所以我們決定現(xiàn)在不是購買的時候。”Kesler解釋道,并補充說他通過實施其他幾款工具找到了中間地帶,這些工具提供了公司當(dāng)時所需的能力并解決了他希望減輕的風(fēng)險。“市場上有這么多優(yōu)秀的安全工具。我們看到演示就興奮,認(rèn)為它們能解決我們所有的風(fēng)險,而現(xiàn)實是我們很難獲得所有想要的預(yù)算,所以部分工作是弄清楚什么可行。”他說,“我本更希望擁有能為我解決一切的‘凱迪拉克’,但我們解決了特定于我們環(huán)境的風(fēng)險,并且價格更低。”
4. 承擔(dān)更多風(fēng)險以促進(jìn)創(chuàng)新
創(chuàng)新,特別是圍繞新興技術(shù)(如自主式AI)的創(chuàng)新,會引入風(fēng)險——特別是如果創(chuàng)新是在沒有積極安全參與的情況下進(jìn)行的,這種情況今天仍然存在,尤其是在AI領(lǐng)域,這造成了許多CISO尚未準(zhǔn)備好的安全風(fēng)險。
“業(yè)務(wù)的創(chuàng)收部分在驅(qū)動決策;這不是五五開的事,不會因為‘CISO說我們不能做,因為有風(fēng)險’就不做。”MorganFranklin的Allen說,“業(yè)務(wù)會說,‘自己解決,因為我們要做。’”但這并不意味著CISO無能為力,他解釋說,他們?nèi)匀挥心芰?mdash;—也有義務(wù)——“清楚地闡述業(yè)務(wù)想要做的安全顧慮、陷阱和缺點。”他們只需要在業(yè)務(wù)背景下闡述安全評估,“并提出一個業(yè)務(wù)認(rèn)為能促進(jìn)增長和他們想做的事情的解決方案。”
許多人(但遠(yuǎn)非全部)正在這樣做。《LevelBlue 2025年未來報告:網(wǎng)絡(luò)彈性與業(yè)務(wù)影響》發(fā)現(xiàn),61%的受訪CISO表示,他們的企業(yè)“因為采取適應(yīng)性方法,可以在創(chuàng)新上承擔(dān)更多風(fēng)險”——這一比例在自認(rèn)為是“網(wǎng)絡(luò)彈性組織”的CISO中上升至79%。
5. 以業(yè)務(wù)速度確保安全
同樣,CISO經(jīng)常需要平衡業(yè)務(wù)希望的速度與安全較慢的節(jié)奏,科技公司Benifex的信息安全負(fù)責(zé)人Simon Backwell說,他是ISACA新興趨勢工作組的成員。他說,業(yè)務(wù)和安全在速度能力上幾乎不匹配。專家表示,業(yè)務(wù)還可以選擇迭代創(chuàng)新,但CISO通常必須滿足合規(guī)法規(guī)和安全框架的要求,這些要求不允許同樣的迭代方法。此外,業(yè)務(wù)團(tuán)隊在啟動新舉措時通常會獲得大量資源來資助專門團(tuán)隊,但安全團(tuán)隊則不會。“安全可能正在處理其他20件事,有人希望安全現(xiàn)在處理新事情,安全必須決定然后放棄什么以騰出空間。”他補充道。
正如他們在試圖找出什么可行時一樣,CISO可以通過與業(yè)務(wù)保持一致,特別是通過將安全早期融入業(yè)務(wù)舉措來更好地跟上節(jié)奏,從而找到平衡點,Simpson說。“這樣做的CISO能夠擁抱速度。”他補充道。
6. 在面對眼前與未來時進(jìn)行前瞻性投資
隨著CISO越來越少地被動應(yīng)對而更多地采取戰(zhàn)略行動,他們能夠更好地看到業(yè)務(wù)機(jī)會和新興威脅的未來趨勢,但這讓CISO陷入了困境:是現(xiàn)在投資新的安全工具或舉措以領(lǐng)先一步——盡管還有其他需要立即關(guān)注的緊急需求——還是等到需求迫在眉睫時再投資?
Pendo的Kesler不得不面對這一困境。他確定,鑒于公司的戰(zhàn)略計劃,他最終需要加強公司對分布式拒絕服務(wù)(DDoS)攻擊的防御——但當(dāng)時DDoS攻擊并不是一個重大威脅。“我們預(yù)見這將是對我們的一個威脅,但我們決定將其推遲。”他說,并指出他不得不做出艱難選擇,專注于解決最緊迫的風(fēng)險,同時知道他可以在安全路線圖的后期解決DDoS攻擊風(fēng)險的上升。
7. 確保訪問而不妨礙用戶體驗
任何經(jīng)驗豐富的CISO都會一再遇到的另一個長期存在的權(quán)衡:在安全機(jī)制與它們給用戶體驗帶來的摩擦之間找到正確的平衡,但如今,隨著客戶和員工體驗至關(guān)重要,以及信息竊取者增多和惡意行為者越來越多地濫用特權(quán)訪問,這一權(quán)衡再次受到關(guān)注。
Kesler在之前擔(dān)任一家醫(yī)療保健組織的安全負(fù)責(zé)人時,就不得不做出這樣的權(quán)衡,當(dāng)時他實施了多因素認(rèn)證。他說,他的執(zhí)行同事知道MFA的價值,但也擔(dān)心它會增加訪問應(yīng)用程序的額外時間。“我們認(rèn)識到,我們必須聰明地決定何時以及如何要求人們使用第二因素。”Kesler解釋道,“我們決定不能每次他們訪問計算機(jī)時都要求,因為我們的醫(yī)生和護(hù)士整天在設(shè)備和患者之間頻繁移動,我們不能要求他們每五分鐘重新認(rèn)證一次。在流程中,分鐘和秒都很重要。”
因此,安全和業(yè)務(wù)共同決定,僅要求現(xiàn)場用戶第一天首次訪問時進(jìn)行MFA,“這樣他們就不會一整天都被不斷要求進(jìn)行第二因素認(rèn)證。”Kesler說。
8. 在面對重大(且頻繁)權(quán)衡時堅守崗位
或許CISO可能做出的最艱難權(quán)衡之一是,即使他們做出了比期望更多的權(quán)衡,也選擇堅守崗位,Allen說,這種情況經(jīng)常發(fā)生。
“CISO會感到沮喪,因為他們覺得自己是安全方面的主題專家,如果他們認(rèn)為需要的事情沒有完成,如果沒有一致意見,如果這是一場持續(xù)的戰(zhàn)斗,他們可能會想要離開。”Allen說。有些人離開了,有些人沒有,他補充道。“最終,CISO必須遵循業(yè)務(wù)的意愿。”Allen說,“如果這不可行,他們就離開;那些能夠適應(yīng)的則能夠與之共事并長期堅守。”
企業(yè)網(wǎng)D1net(m.hfnxjk.com):
國內(nèi)頭部to B IT門戶,旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號