即使在十年前,首席信息安全官CISO的角色也相对简单。然而,随着威胁环境的剧变,CISO的职责必须不断演变。新监管法规的引入,尤其是欧盟的数字运营弹性法案DORA,对任何第三方供应商施加了更严格的审查。与此同时,新出台的美国证券交易委员会SEC规则要求上市公司在发生重大网络安全事件后四天内报告。这两项法规均使董事会对网络安全承担了更多的责任,而最终的负担往往落在一位个人身上:CISO。
白鲸加速器 版本1.47然而,单靠一名“首席事件替罪羊官”来维护整个企业的安全是不可持续的。现在的责任过于重大,必须由CISO引领整体组织的安全责任。
CISO面临的挑战
监管机构对风险的关注日益加剧。从欧盟的DORA和NIS 2到美国新的SEC披露规则,消息显而易见:董事会需要对安全风险负责。然而,面对网络安全和隐私政策违规的法律后果,责任却往往落在CISO身上,而不是整个董事会。近期对SolarWinds CISO Timothy G Brown的指控就是这一新趋势的明显例证。
Gartner的调查显示,86 的组织将安全漏洞归咎于CIO、CISO或类似职务的人。但我们应该在整个组织中分配责任,而不只是将其归结于一个高层领导。仅在今年,就披露了5360起公共安全漏洞,理解网络风险的责任以及每个人在维护强大安全中的角色至关重要。CISO应优先发展全面的公司安全文化,包括全面培训,以帮助分配责任。
尽管企业通常由数千人组成,并且还有数以千计的机器,但当发生安全漏洞时,CISO常常成为替罪羊。虽然他们对网络安全负有最终责任,但问题的核心在于明确责任分配。现代网络极其复杂,各个层级的人员管理着越来越多的设备、应用程序和账户。将所有这些资产的所有权明确分配,对于CISO来说变得极具挑战。尚不完整的资产清单使得责任人难以识别,而缺乏集中管理的平台或单一真相源则更使问题复杂化。
确保组织内每个人都了解自身在安全方面的角色至关重要,特别是在针对网络安全的监管日益增多的背景下,治理成了愈发重要的议题,例如NIST网络安全框架CSF20中引入了新的关键“治理”功能。组织必须将治理作为优先事项,以建立更明确的责任界限,增强整体安全态势,并减轻CISO的单独责任负担。
营造积极的安全文化
网络安全责任的讨论常常演变为指责游戏。然而,建立强大的网络安全文化不仅仅是指责员工的失误,比如点击钓鱼链接或者使用弱密码。IT部门应当被视为与整个业务的合作伙伴,我们需要以同样的方式看待
