CISO也是業務驅動力 可能分為業務與IT安全兩個角色
技術驅動企業專案、應用和目標,安全主管也從技術人員進化到了企業高管。CISO日程表上的首要任務正在慢慢改變,因為他們的核心重點從技術專長轉到了保護業務應用及過程上。
以上結論來自於Spirent委託企業戰略集團(ESG)就CISO職能隨網路安全狀況轉變問題所做的調查研究。研究人員對負責規劃、實現和運營安全策略及過程的413名IT及安全人員做了問卷調查。
關注重點從技術轉到了業務上。但這並不是說忽視技術,而是技術某種程度上由業務計劃、業務應用、業務目標之類的引導。
約 80% 的專家稱,安全知識、技術、運營和管理比2年前更加困難了。而這是因為惡意軟體、IT專案、攻擊目標和聯網裝置的數量和複雜度都有所增長。
幾乎所有(96%)受訪者都表示,CISO的角色職能在擴張,其重要性增加的主要驅動力就是不斷加大的企業資料保護難度。近80%的受訪者指認惡意軟體是最主要的原因,還有很多人宣稱80%-90%的惡意軟體攻擊針對單個裝置,50%-60%的惡意網頁活躍不足1小時。
公司企業數字化轉型加快,網路攻擊者也在精準探測其防禦上的漏洞。這就好像是群狼撕咬。隨著越來越多的人意識到業務是由技術驅動的,CISO看到的資料洩露和各種監管規定也越來越多。無論什麼業務,無論何種過程,總有IT在提供支撐。
CISO逐漸參與到董事會級討論以防止安全事件發生。
安全防禦真真切切在從反應式向主動式轉變。在過去,公司企業打造自身防線,期待沒什麼壞事發生。當安全事件真的發生,公司企業的響應組織堪稱慘不忍睹,低效又遲緩。更糟的是,事件響應都是面向技術而不是面向業務的。安全團隊對待入侵的態度是“我們去修復系統吧”,而不是“我們怎麼恢復業務執行”。但現在,情況有了改觀。
CISO的待辦事項清單不斷加長
CISO的職能改變程度取決於其所供職的企業規模。小公司裡,CISO更多處理的是技術層面的事,大型企業中則偏重管理和決策。
在大型企業供職的CISO被納入到董事級會議和業務規劃會議中。大企業CISO更偏重業務技能而不是技術能力。
業務主管過去會向CISO諮詢自己需要什麼控制措施;如今他們希望安全是嵌入到業務計劃和應用開發中的。運營團隊、開發團隊、每一個操作部分都需要安全專業技術,包括雲端。
CISO還有責任將安全資料有效傳達給業務人員。高層次的執行摘要能幫助董事們理解影響業務的各種威脅。
就好像面對體檢報告。各種實驗室檢測結果一般人都看不懂,只有醫生才能從那堆資料中看出更多細節並制定相應的治療或保健方案。一份重點突出通俗易懂的健康狀況摘要才是體檢者需要的。這種情況也適用於CISO及其安全總結。
專案越多,問題越多
企業IT專案的增多是複雜度增加的第二大驅動力,而IoT及雲相關專案令安全成為了巨大的挑戰。現代企業越來越依賴移動裝置和應用,數字化轉型應用、IoT應用、社交媒體使用也越來越多。
業務過程和倡議比之前快了許多,公司企業紛紛採用敏捷方法構建並執行專案計劃。應用開發從之前的6個月釋出週期縮短到了一天多次更新,而這一切都會影響安全。安全團隊此前幾個月才做一次風險評估和控制,如今,幾乎每天都來一遍。
面對新專案的時候,從一開始就介入的CISO就可以全程處理並測試專案開發過程中的安全狀況。86%的受訪者認為在專案計劃中融入安全可以減少安全事件發生的概率,79%的受訪者覺得公司企業應更頻繁地測試安全控制措施。
隨著安全預算的持續增長(92%的受訪者如此認為),公司企業也在轉變安全採購方式,從終端工具遷移到更整合化的架構上。CISO逐漸意識到沒有足夠的人手處理手頭的大量安全任務,因而專業託管服務的市場越來越大。
至於外包,電子郵件安全和網頁安全這種乏味繁瑣的工作首當其衝被外包出去的。但儘管這些領域最常被外包出去,啟用外部公司進行威脅檢測與響應的影響卻有待商榷。
最終,CISO的角色可能會分裂成兩種:專注企業經營的首席業務安全官;以及主抓系統安全的首席技術安全官。安全成為了風險對話的一部分,專注業務的CISO要能與風險及合規官溝通。
ESG研究報告原文:
ofollow,noindex">https://www.spirent.com/~/media/Briefs/ESG-Research-Insights-Paper-Spirent-2018