近日,英国公司Nominet发布了一份针对企业信息安全主管的调查报告——《墙内的生活,解读当代CISO》,报告显示,只有52%的CISO所在企业的高管认为网络安全对于企业的品牌和营收有重要贡献。但也有相当多高管认为,CISO确保业务安全运行本身就是在为企业创造价值,还有一些CISO通过增值活动提供额外的安全投资回报:安全部门通过各种计划降低成本,开辟新的战略机遇甚至直接增加企业收入。
正如麻省理工学院斯隆商学院(CAMS)网络安全执行总监Keri Pearlson指出:“在这个全新的时代,我们已经看到了CISO为组织带来价值的大量机会。”
以下,我们整理了各界专家的意见,聚焦CISO领导的网络安全业务能够给企业数字竞争力带来的十大价值:
一、提升整体企业数据的可管理性和效率
毕马威(KPMG)全球网络安全实践联席负责人兼负责人Tony Buffomante表示,由于CISO在整个组织中具有可见性,因此他们有机会将增值服务带到安全服务之外。他举了一个案例,毕马威(KPMG)与一家大型金融机构的CISO合作评估其数据风险。在进行评估时,CISO发现很多收集到的数据和位于多个位置的数据资产未被使用。
作为风险和安全评估的一部分,CISO和毕马威会计师事务所首先对数据元素进行了评分。然后,他们记录了数据新旧程度是否对竞争优势有用,数据是否存储在多个地方,以及数据是否在多个地方使用过。
CISO还与IT部门分享了他的见解,消除了冗余并减少了数据占用量,此举不但帮助公司节省大量现金,同时还降低了安全风险。同时,该公司的营销部门利用CISO对数据的见解开展更加精准和有针对性的营销工作。
Buffomante解释说:“正是CISO将洞察力带入了数据,帮助企业业务部门思考使数据更具价值的方法。”
二、“业务漏洞猎手”:发现企业政策和流程缺陷
在安全审计中,CISO通常会发现系统和协议中存在的漏洞。其实,他们也完全可以如法炮制,帮助企业查找业务流程和政策中的漏洞,从而为组织带来更多价值。
奥巴马政府期间的第一位联邦政府CISO,卡内基梅隆大学亨氏信息系统与公共政策学院兼职教授,退休的美国空军准将葛雷格里·图希尔说:“这是我们所有CISO和企业高管都应该赞成的好想法:CISO可以让整个企业变得更优秀。”
在一个咨询案例中,Touhill的一位安全分析师捕获并调查了异常活动,这些异常活动最后归因到了一位新员工的审核和入职问题。
Touhill说:“人力资源不在CISO的车道上,但是他们发出了警报,最终企业改进了入职流程。”
当然,要引起其他主管的注意,就需要CISO运用最佳外交技巧,正如Touhill所指出的那样,“您应该让组织出面来解决这个问题。”
三、发现冗余支出
CISO擅长搜寻并剿灭企业中过剩的冗余技术资产,以防这些资产带来的安全风险,但是资深安全主管Gene Fredriksen说,安全领导者能够识别不必要的技术支出,从而帮助组织控制预算。
“如今,基于云的服务器非常容易使用,但是每次有人启动云端服务器,企业都需要支付费用。因此,如果进行一次进行许可证审核,高管们往往会被各种冗余支出吓一跳。”国家信用联盟信息共享与分析组织(NCU-ISAO)执行董事,Pure IT信用联盟服务的网络安全负责人吉恩·弗雷德里克森(Gene Fredriksen)说道。
四、为知识产权保护提供技能
OutSecure Inc.总裁兼网络安全女性组织(WiCyS)成员帕梅拉·古普塔(Pamela Gupta)说,识别未得到充分保护的知识产权“通常不是CISO的职责,但CISO完全可以在这个领域发挥作用。”
Gupta与一个CISO一起工作,该CISO的任务是对公司的财务和信用卡数据实施控制,但在此过程中,他认为需要提高公司知识产权的安全性。
Gupta表示:“我发现,即使是大型组织也没有采取基于风险的方法来保护知识产权,并将这种保护覆盖并连接整个组织的各个角落。”他补充说,可以通过基于风险的安全意识培训来更好地识别和保护知识产权。这是CISO能为企业提供的高价值服务。
五、安全就是产品,安全就是卖点
安全如何创造价值?其实安全本身就是价值。Keri Pearlson博士指出:无论是消费者从电商平台购买一台智能家电,还是企业高管与供应商商谈合同,每个人都希望与安全性靠谱的企业合作。而且,无论是消费者还是企业,人们对于产品和企业安全能力的关注正在与日俱增。
Pearlson补充说:“企业能够以安全性高而自居,这本身就可以创造收入。”这为CISO提供了机会。“如果CISO可以向您证明自己的公司或产品更安全,那么这本身就能带来开展业务的战略机会。”
Pearlson说她曾在一家组装数字组件的产品公司工作。其CISO将其工作范围从保护内部系统扩展到了产品的安全功能开发。
她补充说:“CISO抓住了机会,参与到产品开发层面。”“对于CISO来说,这不是传统的角色,但是CISO其实可以在这里产生重大影响,尤其是在企业数字化转型的过程中,一切皆有数字成分,同时也带来数字风险。”
六、搭建桥梁
像CIO和CFO同行一样,CISO的工作覆盖整个企业,因此有机会在企业中建立关系。资深安全主管,ISACA(专业致力于IT治理的专业协会)的前任董事长Brennan P.Baybeck说,这使CISO成为了大使。他指出,CISO的工作几乎涉及整个执行和战略领域——从与数据相关的问题到法律,隐私和治理以及安全性。他们的任务是与许多其他伙伴一起寻找解决方案。
“CISO能够看到需要改进的地方,并在公司内部协调资源”Baybeck说,他也是Oracle公司客户服务的CISO。
他建议首席信息安全官利用这一经验在各个职能部门中扮演调解人的角色,并通过打破孤岛在部门之间建立网络,来帮助企业更好地管理风险。
七、帮助合作伙伴
弗雷德里克森(Fredriksen)认为,面对日益严峻的供应链安全性问题,CISO与企业的业务合作伙伴有大量合作的机会。
他说,作为首席信息安全官,他本人为供应商和分销商举办了安全研讨会,与他们共享了安全警报和合规性更新。
他补充说:“CISO们需要分享最佳实践,因为他们在一起会让彼此变得更好。”
八、寻找推进标准化的机会
IT服务公司Garnet River LLC的CISO Michael D.Weisberg正在为一家大型企业的CISO提供建议,该企业已实施了不同的系统来处理来自不同地点的付款。该组织拥有23个不同的平台来处理同一流程,这种情况不仅给CISO带来了昂贵的复杂性,而且给支持所有这些系统的技术人员带来了不必要的复杂性。
认识到这些不同系统给组织带来的负担,CISO开发了一个统一的框架,该框架对所有系统的安全性和技术要求进行了标准化。整个组织和CISO自己都从标准化工作中受益。
Weisberg说:“维护标准化的功能环境所需人员更少,效率更高,企业可从中长期受益。”
九、帮助企业高级管理层制定战略计划
随着CISO逐步晋升为执行合作伙伴,通过为CxO高管同行提供有关网络安全问题的咨询,CISO有能力推动制定更多企业战略计划。
非营利烟草控制组织Truth Initiative的首席信息和网络安全官Derrick A.Butts说:“这与组织的愿景保持一致,并有助于节省资金并改善全体员工的工作流程。”
巴茨看到了CISO参与的战略工作如何带来红利。
他以五年前公司搬迁举例,尽管设施管理似乎不像是CISO擅长的领域,但他尽早参加了讨论并最终影响了新办公设施的网络基础架构。Butts建议他的同事向网络基础架构中添加功能,以支持大量的远程工作并为该远程工作提供安全性,他还说服其他高管,表示该计划能够确保在发生诸如大雪等紧急情况下,关闭整个办公室(但不影响办公)。
当COVID-19大流行时,Butts参与该计划的价值变得显而易见,因为他所在公司的员工几乎是无缝且迅速地过渡到了远程工作环境。
“我们不必重新评估并引入新系统来支持远程办公工作。我们已经早有准备,因此业务丝毫不受(疫情)影响。”Butts补充道。
十、简化法规控制
随着各国立法者和私人实体颁布越来越多的安全和隐私法规(例如《加州消费者保护法案》),企业必须实施自己的控制措施以遵守法规。
但是,由于法规不断增多,叠床架屋,如果“见招拆招”,通常会导致复杂、冗余的控制和相关流程。
云计算提供商Fastly的CISO迈克·约翰逊(Mike Johnson)说,由于安全领导者参与了各种监管义务,他们经常可以找到简化这些控制措施的方法。
他说:“CISO可以通过简化与安全相关的操作和合规性来给企业带来增值。”降低合规成本能为企业创造巨大价值。要知道,繁重的手动流程意味着很高的现金和机会成本,而自动化(以及其他改进方法)确实可以为整个企业带来收益。”
转载请注明:IT运维空间 » 安全防护 » CISO可以为企业创造的十大安全价值
发表评论