CISO 的最新职责:建立信任
星期二, 十月 22, 2019
信任正在成为市场上的差异化因素,而那些寻求在他们的工作中扮演更具有战略意义角色的 CISO 们必须让所有的利益相关者都参与进来,建立信任,使组织机构能够考虑到他们的最佳利益。
Kirsten Davies 面临一项艰巨的任务:使其公司的欧洲员工采用新的安全协议,而员工担心这些协议可能会被用来监视他们。
Davies 当时是 HPE 的副首席信息安全官,她需要让公司的员工使用和遵守各种新的工具和政策,就像欧盟颁布通用数据保护条例 (GDPR) 的时候,是一次大规模的隐私条例改革。但员工们担心这些安全工具可能会被公司用于监视,他们还质疑这些安全工具的功能是否会侵犯他们自己的隐私。
为了解决这些问题,Davies 走访了欧洲各地,与工会开会阐述了公司面临的风险以及引入这些工具的重要性。她从德国开始,在那里,Davies 身为一个以英语为母语的美国人,用她流利的德语与工会建立了融洽的关系。
Davies 解释道,这样做的目的是让工人们了解新工具是如何保护他们和公司的,以及这些工具为何如此重要。她成功地与德国工会 (German Workers Council) 达成了一项网络安全主协议,成为了 HPE 在海外与工会达成的 20 多个类似协议的典范。
那份有史以来的第一份网络安全协议,让我们双方达成了一致,表明我们正在合作保护这家公司。
Davies 现在是雅诗兰黛公司 (EstéeLauder Companies Inc.) 的高级副总裁兼 CISO,雅诗兰黛公司是众多美容产品的跨国制造商和销售商,认为在 2016 年她与工会的经历正好符合安全职能部门的新职责:说服各个部门,让他们相信当涉及数据安全和隐私的时候,组织机构及其领导者能够正确处理他们的利益。
Davies表示,目前信任有点变化,但它是一种期望,即希望可以进行的交易是安全、稳定和可信的。
像 CIO 和 IT 部门一样,CISO 的角色也在不断演变,从专注于战术部署的管理人员转变为从事战略工作的执行人员。现在,CISO 的角色正在进一步发展,他将使组织机构中的所有利益相关者都参与进来——从客户和业务伙伴到员工和董事会成员,建立信任,使组织机构在涉及网络安全时能够考虑到他们的最佳利益。
不过这不仅仅是一次深奥的讨论或哲学实践:CEO 们相信在数字时代,与利益相关者建立和保持信任对取得成功至关重要。普华永道在其第 21 届全球首席执行官调查中发现,全球有 87% 的 CEO 表示,为了与客户建立信任,他们正在投资网络安全。
信任似乎正在成为市场上的一个差异化因素。
普华永道 (PwC) 网络安全和隐私业务主管 Shawn Connors 表示:对于那些以合乎道德的方式使用数据、保护数据并以应有的方式管理数据的企业来说,这将带来实质性的竞争优势。
普华永道警告高管们,不要低估当今数字世界对信任的需求,也不要低估其价值。
普华永道在其 2018 年秋季报告《数字信任之旅》中写道:如果说数字经济的命脉是数据,那么它的核心就是数字信任——对建立一个安全数字世界所需的人员、流程和技术的信心程度。
当然,只要这个角色存在,CISO 们就会一直致力于保护其组织机构的系统及其中的数据。企业高管和董事会成员早就期待 CISO 们能够兑现这些承诺;甚至客户和业务合作伙伴也开始希望 CISO 能将这些任务执行到可接受的水平。
不过,如今 CISO 们也面临着越来越高的社会期望,达拉斯的一名律师 Benjamin Wright 说道,他专注于技术法,是 SANS 研究所的高级讲师。
现在社会的法律和规则在说,这是我们希望你达到的复杂要求,如果你不满足这些要求并确保这些东西的安全,你将受到惩罚。
Wright 表示,结果 CISO 的角色正变得像首席财务官一样,并且整个安全部门在企业中的职能与法律部门类似,在像金融和法律安全方面,超出了他们的日常职责。
我不是说安全团队需要像律师或注册会计师那样获得执照。然而,从历史上看,企业依赖(那些法律和财务)专业人士提供专业建议,而这些建议分量很重。我相信有很多大型企业正在向网络安全团队寻求这些专业意见,因为社会希望企业解决网络安全问题。社会上会说:大企业,你有责任保护个人身份信息和资源之类的东西,如果你不履行这些责任,就会受到社会的惩罚。
然而 Wright 指出社会并不一定表现出对企业安全的盲目信任。他指出,有很多规定要求企业证明自己正在解决网络安全需求,例如 2017 年纽约金融服务部 (New York Department of Financial Services) 对金融服务企业的网络安全要求。此外,美国联邦贸易委员会 (Federal Trade Commission) 在 2019 年决定要求 Facebook 首席执行官 Mark Zuckerberg 亲自证明,他的公司正在努力保护消费者隐私。这一要求源于联邦贸易委员会与 Facebook 就剑桥分析丑闻中 (Cambridge Analytica Scandal) 滥用用户数据一事达成的和解。
研究人员、顾问和 CISO 们表示,他们不认为所有组织机构都需要签署这样的声明,但他们预计未来会有更多这样的规定。他们还一致认为,企业领导者必须向其利益相关者证明,他们正在努力保护IT系统及其中的数据。
你会逐渐赢得信任,只收集你需要的,根据要求终止,保护它并以道德的方式使用它。
培养数字信任对于很多人而言可能是一场斗争。
《2018年数字化转型指数》(Digital Transformation Index) 调查了来自 40 多个国家的 4600 名商业领袖,他们来戴尔技术公司 (Dell Technologies) 以及其合作方 Intel 和 Vanson Bourne。调查发现发现 49% 的人 “担心他们的组织机构将在5年内不值得信赖”。
调查还发现 91% 的企业 “正面临着持续的数字化转型障碍”,其中数据隐私和安全问题是头号障碍,排在资源和技能限制(分别位列第二和第三)之前,加上法规和立法变化以及不成熟的数字文化构成了五大挑战。
然而,Connors 和 Wright 等人认为,CISO 应该认识到他们有机会赢得信任。
他们表示 CISO 可以从自己的组织机构内部着手,与高层同事建立关系,将安全纳入战略讨论中,并让董事会按照他们希望的方式参与进来——CISO 在过去几年里一直听到这些建议。
Wright 表示从此以后,CISO 们可以考虑如何在明文规定,内部消息甚至公开声明中阐明他们在安全和隐私方面的努力,指出 CISO 现在不仅必须与其他高管和董事会建立信任,而且还要与普通员工,商业伙伴、消费者、监管机构和整个社会建立信任。
Connors 对此表示赞同,人们对数字信任的反应会越来越强烈和敏感。人们希望与那些能够处理好数据的人做生意,而那些处理不好数据的企业将会付出一定代价。
此外,消费者开始不断询问组织机构将会如何处理他们的数据、如何保护数据、在哪里使用这些数据以及为什么要共享数据等问题。CISO 最好将相关信息加入到回应此类问题的组织声明和政策中。
不要只告诉别人你有政策。他们想知道数据的去向。证明你能够进行合理的控制,Connors 解释道,CISO 不仅可以通过展现他们在采取措施保护自己组织机构内部的数据,而且还在努力确保其业务合作伙伴及其利益相关者的安全来进一步培养信任。
然而,首席信息安全官不应该单枪匹马去做这些。
CISO 的职责是提供一定程度的保密性、完整性和可用性,但这不仅仅是 CISO 的职责,这关系到整个组织如何建立信任。
普华永道在其数字信任报告中宣称,这是一项值得努力的工作:能够向互联世界展示在保障、安全性、可靠性、隐私和数据伦理方面发挥领导作用的公司,将成为未来的巨头。
咨询公司 SideChannel Security 的合伙人、联合创始人、前首席信息安全官 Brian Haugli 表示,很多 CISO 在建立信任时都面临挑战。
Haugli 表示 CISO 经常会遇到一种情况,就是业务同事仍然认为安全是提高速度和业务增长的障碍。而且 CISO 有时会发现,他们并不属于早期战略讨论的一部分,而是在后期(安全更难整合的阶段)被纳入计划中。
与此同时,Haugli 表示一些 CISO 可能不准备承担建立信任的任务。这些 CISO 可能还不认为自己是业务推动者、关键顾问和战略合作伙伴,而是止步于 CISO 角色的一个版本——主要专注于技术监督和安全工作。
实际上至少有一项调查表明,很多组织机构并没有完全接受这一观点。
The Cloudfathers:《财富500强》中一份由云访问安全代理 (Cloud Access Security Broker, CASB) 供应商 Bitglass 于 2019 年 9 月发布的网络安全分析报告,研究了《财富500强》 企业中面向公众的涉及安全性的信息。分析发现,有 77% 的企业没有说明谁应该对其安全策略负责,而有 52% 的企业在其网站上除了发布法律要求的隐私政策之外,对于他们如何保护消费者和合作伙伴的数据没有任何说明。
另一方面,一些 CISO 已经将信任放在了整个安全功能的核心位置。
以 Omar Khawaja 为例,他是一家国家健康与福利组织 Highmark Health 的首席信息安全官。他将信任视为他和他的安全团队的工作使命,并在 2019 年初重写了安全计划的宗旨,以更好地与公司的战略愿景保持一致。
旧的宗旨谈到了安全的三个商业目标——合规、隐私和效率,这三个目标是通过遵循 CIA 三要素实现的。
新的愿景声明中写道:我们的愿景是创造一个人们明确相信自己的信息是安全的世界。
Khawaja 表示,信任应该被当做指明灯,他解释说他开始明白安全团队的活动都是为了建立这种信任。
Khawaja 表示他是在几年前开始参加更多与公司客户的会议后领悟到这一点的。这些客户看到越来越多的医疗机构遭到网络攻击和数据泄露,他们希望 Highmark Health 可以确保其数据的安全。
我带着客户了解了网络的风险,我们对他们做了什么,他们应该对我们的处理方式有何感受。我一直觉得这些谈话取得成功的前提是,他们认为自己的信息在安全的地方,他们觉得 Highmark 在数据处理方面做得很好。
相关阅读