Mary K. Pratt 沈建苗

首席信息安全官Omar Khawaja的公司Highmark Health大規(guī)模改用遠(yuǎn)程工作環(huán)境時(shí)，他只有一項(xiàng)重要任務(wù)：讓員工們能夠從任何地方順利完成工作。

但為了盡快完成這項(xiàng)任務(wù)，Khawaja提議放寬某些控制措施。他這樣解釋：“我們存在的目的就是成為業(yè)務(wù)賦能者，因此如果我們阻止業(yè)務(wù)部門(mén)開(kāi)展要做的工作，那將毫無(wú)意義。”

Khawaja的提議看似很激進(jìn)，不過(guò)他表示自己知道其他剩余的安全層可提供所需的保護(hù)。不過(guò)，他還是希望高管團(tuán)隊(duì)的其他成員與自己一樣信心十足。

他們確實(shí)信心十足。

他說(shuō)：“我得告訴他們，我們?cè)诜艑捒刂拼胧?，?duì)方的答復(fù)是‘如果你進(jìn)行過(guò)分析，覺(jué)得這么做是對(duì)的，那么我們將全力支持?！?/p>

CISO們發(fā)現(xiàn)其角色已發(fā)生了變化，從專注于戰(zhàn)術(shù)部署的管理角色轉(zhuǎn)向注重業(yè)務(wù)戰(zhàn)略和風(fēng)險(xiǎn)管理的行政角色。

作為這種變化的一部分，CISO們必須在所有利益相關(guān)者（客戶、合作伙伴、員工、董事會(huì)成員及其他高管）當(dāng)中樹(shù)立信心，堅(jiān)信他們和安全團(tuán)隊(duì)在制定網(wǎng)絡(luò)安全決策時(shí)牢記本組織的最大利益。

換句話說(shuō)，CISO們必須贏得利益相關(guān)者的信任。唯有這樣，面對(duì)不斷變化的形勢(shì)，甚至不同尋常的情況，每個(gè)部門(mén)開(kāi)展日常業(yè)務(wù)時(shí)，才堅(jiān)信安全部門(mén)可以始終如一地保護(hù)人員、隱私、系統(tǒng)和數(shù)據(jù)。

Gene Fredriksen是一名資深的安全高管，現(xiàn)在擔(dān)任全美信用合作社信息共享和分析組織（NCU-ISAO）的執(zhí)行董事，兼Pure IT信用合作社服務(wù)公司的網(wǎng)絡(luò)安全負(fù)責(zé)人。他說(shuō)：“現(xiàn)在發(fā)生了天翻地覆的變化。大家的工作方式不一樣，覺(jué)得很不適應(yīng)。因此作為一名安全人員，你得建立起這種信任。這是你工作的一部分，也是公司花錢(qián)雇你的目的?！?h3>基本要素

CISO培養(yǎng)信任的能力不僅僅囿于深?yuàn)W的討論或商學(xué)院的演練：專家們表示，對(duì)于任何想成功履行角色的CISO來(lái)說(shuō)，培養(yǎng)信任都是一個(gè)基本要素，因?yàn)檫@項(xiàng)能力使他或她能夠落實(shí)為本組織確保安全所需的政策、程序和技術(shù)，從而向其他人（包括客戶）證明他們與該公司的聯(lián)系很安全。

IT服務(wù)公司Garnet River LLC的首席信息安全官M(fèi)ichael D. Weisberg說(shuō)：“如果你沒(méi)有建立信任，那你的動(dòng)機(jī)就會(huì)受到質(zhì)疑。”

他表示，CISO們需要受到信任，那樣“他們舉手，對(duì)可能危及他們竭力所保護(hù)的對(duì)象的政策、項(xiàng)目或想法提出看法時(shí)，會(huì)受到重視。”Weisberg表示，只有彼此信任，利益相關(guān)者才會(huì)停下來(lái)聽(tīng)取CISO的建議。

Weisberg補(bǔ)充道，另一方面，不能將CISO視為“一味拒絕的部門(mén)”，多年來(lái)許多CISO被打上了這樣的標(biāo)簽。他們需要提供這種解決方案：讓組織、合作伙伴和客戶能夠執(zhí)行預(yù)期的任務(wù)，又不使他們面臨不可接受的風(fēng)險(xiǎn)。

麻省理工學(xué)院斯隆商學(xué)院（CAMS）的網(wǎng)絡(luò)安全執(zhí)行總監(jiān)Keri Pearlson博士補(bǔ)充道：“大家信任幫助自己解決問(wèn)題，并樂(lè)于提供幫助的同事和同仁?！?p>

贏得信任

Monica Rowe是密蘇里州堪薩斯城Mazuma信用合作社的首席信息安全官，也是網(wǎng)絡(luò)安全女性組織（WiCyS）的成員。她在目前擔(dān)任的崗位、乃至整個(gè)職業(yè)生涯中都采用了這種方法。

她表示，自己不僅向公司的其他高管宣講安全問(wèn)題， 還竭力在其組織的所有層級(jí)建立良好的關(guān)系。她解釋說(shuō)：“你應(yīng)該把窗簾拉開(kāi)一點(diǎn)，透露一定程度的詳細(xì)信息?！边@種做法可幫助高管團(tuán)隊(duì)從業(yè)務(wù)風(fēng)險(xiǎn)方面了解安全需求。

因而，她表示其同事明白“我們?cè)跒楣餐娑Α?，這反過(guò)來(lái)意味著他們相信她為整個(gè)組織做出最合理的選擇，而不只是為安全職能部門(mén)做出最合理的選擇。

Rowe已看到了贏得這種信任后收到的成效。她提到自己在2019年因而獲得高管團(tuán)隊(duì)的支持，以加強(qiáng)該信用合作社的某些安全方面，包括VPN功能。

她說(shuō)：“首席執(zhí)行官批準(zhǔn)了資金，由于他對(duì)我深信不疑，所以沒(méi)有質(zhì)疑我在這方面的要求?！?p>

高管團(tuán)隊(duì)相信她認(rèn)為需要改進(jìn)安全的觀點(diǎn)，于是這家信用合作社迅速加強(qiáng)了遠(yuǎn)程工作能力，以應(yīng)對(duì)新冠疫情，升級(jí)后的VPN證明有能力應(yīng)對(duì)更大的負(fù)載。

她補(bǔ)充道：“信任讓你能夠左右那些影響整個(gè)公司的決策。”

信任的價(jià)值

當(dāng)前的情形也強(qiáng)調(diào)了CISO們需要在員工、合作伙伴和消費(fèi)者當(dāng)中建立起信任，因?yàn)樗麄兌家呀?jīng)歷了新冠疫情帶來(lái)的種種轉(zhuǎn)變，與此同時(shí)他們看到有關(guān)重大網(wǎng)絡(luò)安全攻擊的更多報(bào)告，比如去年7月眾多知名的Twitter賬戶被黑。

這點(diǎn)完全可以肯定：普通人都在密切關(guān)注。畢馬威的2020年報(bào)告《企業(yè)數(shù)據(jù)責(zé)任方面的新要求》調(diào)查了1000名美國(guó)人，結(jié)果發(fā)現(xiàn)87%的人認(rèn)為數(shù)據(jù)隱私是一項(xiàng)人權(quán)，91%的人表示企業(yè)應(yīng)帶頭肩負(fù)起企業(yè)數(shù)據(jù)責(zé)任。

貝恩公司的合伙人Steve Berez設(shè)立了該公司的企業(yè)技術(shù)業(yè)務(wù)，他說(shuō)：“人們?cè)絹?lái)越認(rèn)識(shí)到與他們有業(yè)務(wù)往來(lái)的公司，甚至與他們沒(méi)有直接業(yè)務(wù)往來(lái)的公司擁有大量的數(shù)據(jù)。除了由此帶來(lái)的好處外，越來(lái)越多的人還意識(shí)到由此帶來(lái)的風(fēng)險(xiǎn)。因此大體說(shuō)來(lái)，CISO的工作主要與信任有關(guān)，建立信任，好讓別人相信提供給該公司的數(shù)據(jù)是安全的。這可能是當(dāng)下CISO最重要的角色?！?p>

首席執(zhí)行官們已心領(lǐng)神會(huì)，因?yàn)楝F(xiàn)在大多數(shù)首席執(zhí)行官認(rèn)為，要在數(shù)字化時(shí)代取得成功，與利益相關(guān)者建立和維持信任至關(guān)重要。普華永道在其第21屆全球首席執(zhí)行官調(diào)查中發(fā)現(xiàn)，全球87%的首席執(zhí)行官致力于加強(qiáng)網(wǎng)絡(luò)安全，以贏得客戶的信任。

普華永道咨詢業(yè)務(wù)負(fù)責(zé)人Sean Joyce說(shuō)：“隨著經(jīng)濟(jì)數(shù)字化，我們現(xiàn)在意識(shí)到信任到底多重要。”他是普華永道的美國(guó)和全球網(wǎng)絡(luò)安全與隱私業(yè)務(wù)負(fù)責(zé)人。

從賣(mài)點(diǎn)到社會(huì)使命

Joyce認(rèn)為，除了展示給員工、業(yè)務(wù)合作伙伴和內(nèi)部的負(fù)責(zé)人外，企業(yè)組織保持安全和隱私的能力還是展示給客戶的一個(gè)賣(mài)點(diǎn)。

他提到了其所在的在線銀行，這家銀行部署的一項(xiàng)安全功能最近阻止了他當(dāng)時(shí)進(jìn)行的一次不尋常的采購(gòu)（沖浪板練習(xí)），在詢問(wèn)他是否要銀行授權(quán)這筆支出的同時(shí)，給他發(fā)來(lái)了短信。這種功能使這家在線銀行與眾不同。

他補(bǔ)充道：“這就是CISO所做的事情，他們利用安全功能讓自家品牌脫穎而出?！?/p>

實(shí)際上，普華永道的《2020年數(shù)字化信任洞察脈動(dòng)調(diào)查結(jié)果》將信任列為CISO須向其企業(yè)組織提供的關(guān)鍵要素之一，建議CISO們“另辟蹊徑，以改善安全、彈性和信任，同時(shí)通過(guò)有效地監(jiān)管網(wǎng)絡(luò)安全預(yù)算來(lái)幫助遏制成本?！?p>

CISO們可能沒(méi)有太多的選擇，只能這么做，因?yàn)樯鐣?huì)日益要求這種“數(shù)字化信任”，達(dá)拉斯的律師Benjamin Wright如是說(shuō)。他專注于技術(shù)法，在美國(guó)私人營(yíng)利性公司SANS Institute擔(dān)任高級(jí)講師。

他說(shuō)：“社會(huì)正在通過(guò)法律并執(zhí)行規(guī)定，表明‘這是我們要求你滿足的復(fù)雜要求，如果你未滿足這些要求，未為該數(shù)據(jù)確保安全，將受到懲罰?！?/p>

已于2020年初生效的《加利福尼亞州消費(fèi)者隱私法》就是個(gè)典型案例，但不是唯一的法規(guī)。包括緬因州和內(nèi)華達(dá)州在內(nèi)的其他州也已頒布了數(shù)據(jù)隱私法，而其他州出臺(tái)了立法。那些法規(guī)效仿歐盟早在2018年生效的《數(shù)據(jù)保護(hù)通用條例》（GDPR）。

CISO的新使命

然而，培養(yǎng)數(shù)字化信任對(duì)于許多人而言并非易事。

畢馬威的《企業(yè)數(shù)據(jù)責(zé)任方面的新要求》調(diào)查發(fā)現(xiàn)，68%的受訪消費(fèi)者不相信企業(yè)會(huì)以合乎道德的方式出售個(gè)人數(shù)據(jù)，54%不相信企業(yè)會(huì)以合乎道德的方式使用個(gè)人數(shù)據(jù)，53%的人不相信企業(yè)會(huì)以合乎道德的方式收集個(gè)人數(shù)據(jù)，50%的人不相信企業(yè)會(huì)保護(hù)個(gè)人數(shù)據(jù)。

戴爾技術(shù)公司聯(lián)合英特爾和獨(dú)立調(diào)研機(jī)構(gòu)Vanson Bourne，對(duì)來(lái)自40多個(gè)國(guó)家的4600名業(yè)務(wù)負(fù)責(zé)人開(kāi)展了一項(xiàng)調(diào)查：《2018年數(shù)字化轉(zhuǎn)型指數(shù)》，結(jié)果發(fā)現(xiàn)，49%的人“擔(dān)心本組織在5年后不值得信賴?！?/p>

Brian Haugli是咨詢公司SideChannel Security的合伙人兼聯(lián)合創(chuàng)始人，之前擔(dān)任過(guò)首席信息安全官。他表示，專家們聲稱，那些憂心忡忡的組織繼續(xù)將安全視為阻礙速度和發(fā)展的因素，原因在于他們不相信安全職能部門(mén)與本組織的業(yè)務(wù)發(fā)展相一致。

因而，他們的CISO常常無(wú)緣早期階段的戰(zhàn)略性討論，僅在后期階段才參與到計(jì)劃或項(xiàng)目中，這時(shí)候整合安全比較困難。

Haugli表示，與此同時(shí)，同樣這些CISO可能沒(méi)準(zhǔn)備好接過(guò)建立信任這項(xiàng)重任。他們可能尚未將自己視為業(yè)務(wù)賦能者、關(guān)鍵的顧問(wèn)和戰(zhàn)略合作伙伴，而是仍將其角色視為技術(shù)監(jiān)督和實(shí)施一項(xiàng)被動(dòng)應(yīng)對(duì)的安全計(jì)劃。

然而專家們強(qiáng)調(diào)，領(lǐng)先的CISO們?cè)缫逊e極奉行建立信任是可交付成果這一理念，而且確實(shí)將信任視作整個(gè)安全職能部門(mén)的中心主題。

這就是Highmark Health的首席信息安全官Khawaja采取的方法。他認(rèn)為信任高度體現(xiàn)了他和其安全團(tuán)隊(duì)所做的工作，2019年初他們重寫(xiě)安全計(jì)劃的使命聲明，以便與公司的戰(zhàn)略愿景更保持一致時(shí)，實(shí)際上宣布了信任的重要性。

舊的使命聲明提到了安全的3個(gè)業(yè)務(wù)目標(biāo)：確保合規(guī)、隱私和效率。新的愿景聲明寫(xiě)道：“我們的愿景是打造人們明確相信自己的信息是安全的環(huán)境?！?/p>

本文作者M(jìn)ary K. Pratt是常駐馬薩諸塞州的自由撰稿人。

原文網(wǎng)址

https：//www.csoonline.com/article/3444940/the-ciso-s-newest-responsibility-building-trust.html