隨著首席信息安全官發(fā)揮越來(lái)越重要的作用,擔(dān)負(fù)的責(zé)任也越來(lái)越大�����,許多網(wǎng)絡(luò)安全專業(yè)人士需要了解他們是否具備成功勝任這一角色的條件。
目前創(chuàng)新互聯(lián)公司已為近1000家的企業(yè)提供了網(wǎng)站建設(shè)�����、域名�����、雅安服務(wù)器托管���、網(wǎng)站托管維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)����、吉州網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向��、應(yīng)用為本的策略�����,正道將秉承"和諧���、參與、激情"的文化�,與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)����,共同發(fā)展���。
技術(shù)專長(zhǎng)和知識(shí)經(jīng)驗(yàn)顯然是巨大的資產(chǎn)����。優(yōu)秀的首席信息安全官可以評(píng)估和選擇安全技術(shù)�,與技術(shù)人員溝通,并就安全基礎(chǔ)設(shè)施和架構(gòu)方面做出關(guān)鍵決策����。大多數(shù)首席信息安全官具有領(lǐng)導(dǎo)和管理團(tuán)隊(duì)的經(jīng)驗(yàn),與企業(yè)內(nèi)部的利益相關(guān)者建立了緊密關(guān)系�����,并應(yīng)對(duì)過(guò)網(wǎng)絡(luò)安全方面的危機(jī)���。他們知道如何快速做出決定并推動(dòng)企業(yè)變革����。
然而��,很多人并不具備成功的首席信息安全官的一些品質(zhì)和能力。以下是表明他們是否勝任首席信息安全官的5種方法�。
1、規(guī)避風(fēng)險(xiǎn)
根據(jù)定義�����,首席信息安全官的職責(zé)是管理網(wǎng)絡(luò)風(fēng)險(xiǎn)���。這包括評(píng)估和管理企業(yè)面臨的風(fēng)險(xiǎn)�,并根據(jù)這些評(píng)估做出選擇�。如果網(wǎng)絡(luò)安全專業(yè)人士不能做出基于風(fēng)險(xiǎn)的決策,或者很難弄清楚如何優(yōu)先處理威脅����,尤其是在壓力很大的情況下,那么他就不會(huì)成為一名成功的首席信息安全官����。如果他們有避免為自己的決定和行動(dòng)承擔(dān)責(zé)任的傾向�,也是如此。
Blackcloak公司創(chuàng)始人兼首席執(zhí)行官Chris Pierson表示����,首席信息安全官的角色不適合那些不愿為自己可能倡導(dǎo)或?qū)嵤┑男袆?dòng)承擔(dān)責(zé)任的人�。Pierson說(shuō):“如果網(wǎng)絡(luò)安全專業(yè)人員從CYA�����、對(duì)抗或風(fēng)險(xiǎn)規(guī)避的角度來(lái)處理����,那么可能會(huì)降低與他人合作實(shí)現(xiàn)聯(lián)合任務(wù)或目標(biāo)的能力。而成為一個(gè)不能容忍或不能承擔(dān)風(fēng)險(xiǎn)的人��,可能會(huì)影響其有效運(yùn)作的能力��,并使其他人不愿與他合作�。”
首席信息安全官當(dāng)然不適合那些害怕在危險(xiǎn)時(shí)刻做出艱難決定的人��。
2����、難以適應(yīng)變化
首席信息安全官主要負(fù)責(zé)領(lǐng)導(dǎo)和管理安全專業(yè)人員團(tuán)隊(duì)。他需要善于管理人員并與他人有效溝通�����,這意味著愿意傾聽(tīng)和考慮他人的反饋。Pierson表示���,“如果網(wǎng)絡(luò)安全專業(yè)人員是一位總是希望獲勝的人���,不能與不同的觀點(diǎn)或優(yōu)先事項(xiàng)進(jìn)行談判或達(dá)成一致,那么就不適合成為首席信息安全官�����?!?/p>
另一個(gè)危險(xiǎn)信號(hào)是,人們普遍不愿意授權(quán)給其他安全負(fù)責(zé)人���,因?yàn)樗麄冋J(rèn)為首席信息安全官比周圍的人更了解正在發(fā)生的事情�。Delinea公司的首席信息官Stan Black表示�,如果網(wǎng)絡(luò)安全專業(yè)人員不愿意雇傭一些更聰明的人,那么最好放棄成為首席信息安全官的想法�����,因?yàn)楫?dāng)他所在的公司被黑客攻擊時(shí)���,可能遭到更多的指責(zé)和社會(huì)關(guān)注。
Bugcrowd公司的首席信息安全官Nicholas McKenzie表示��,那些難以適應(yīng)變化的人需要避免擔(dān)任首席信息安全官。首席信息安全官需要靈活應(yīng)變��,并根據(jù)不斷變化的業(yè)務(wù)需求和網(wǎng)絡(luò)威脅環(huán)境調(diào)整策略�����。如果是那種固執(zhí)地實(shí)施會(huì)破壞流程或影響用戶或客戶體驗(yàn)措施的人�����,那么他就會(huì)知道自己不適合擔(dān)任首席信息安全官��。
3�����、不理解業(yè)務(wù)需求和目標(biāo)
如果網(wǎng)絡(luò)安全專業(yè)人員缺乏對(duì)業(yè)務(wù)需求和目標(biāo)的深刻理解�����,無(wú)法開(kāi)發(fā)與企業(yè)目標(biāo)一致的安全策略�����,那么就不適合擔(dān)任首席信息安全官。如果開(kāi)發(fā)和實(shí)現(xiàn)企業(yè)范圍的安全流程以及管理預(yù)算的想法讓他感到不安����,那么最好遠(yuǎn)離首席信息安全官這一角色。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者應(yīng)該很好地理解其特定行業(yè)的法規(guī)和合規(guī)性要求���,以及相關(guān)的數(shù)據(jù)保護(hù)和隱私法律�。
McKenzie表示�����,如果網(wǎng)絡(luò)安全專業(yè)人員不能理解企業(yè)的業(yè)務(wù)語(yǔ)言���、業(yè)務(wù)流程以及安全控制能夠或可能進(jìn)一步發(fā)揮作用的地方��,那么他就沒(méi)有資格成為首席信息安全官�����。不能或不愿意定期與供應(yīng)商交談的網(wǎng)絡(luò)安全專業(yè)人員難以擔(dān)任首席信息安全官��。Pierson說(shuō):“如果不想與供應(yīng)商談?wù)擃I(lǐng)先的技術(shù)或新方法��,就不要擔(dān)任這一職位��,因?yàn)檫@是首席信息安全官工作的關(guān)鍵部分����?��!?/p>
歸根結(jié)底���,如果網(wǎng)絡(luò)安全專業(yè)人員是那種傾向于將安全團(tuán)隊(duì)的目標(biāo)置于企業(yè)目標(biāo)之上的人,那么并不適合擔(dān)任首席信息安全官�����。Pierson說(shuō)��,“作為團(tuán)隊(duì)合作者���,這意味著首席信息安全官明白自己在公司的角色是保護(hù)客戶�、員工和公司的數(shù)據(jù)����。但這一切都需要符合其公司的目標(biāo)?�!?/p>
4、難以爭(zhēng)取更多的資金
成為首席信息安全官意味著能夠向企業(yè)管理層和首席財(cái)務(wù)官推銷其安全理念�����。有時(shí)�����,首席信息安全官需要能夠清楚地說(shuō)明和辯護(hù)增加網(wǎng)絡(luò)安全預(yù)算或在項(xiàng)目上增加支出的理由����。如果他沒(méi)有能力在需要的時(shí)候提出令人信服的理由來(lái)爭(zhēng)取更多的資金,那么就很難成為首席信息安全官����。Stan Black表示,如果不是那種能找到令人信服的理由把資金花費(fèi)在不能帶來(lái)直接收入的網(wǎng)絡(luò)安全的人�����,那么說(shuō)明他并不適合擔(dān)任首席信息安全官�。
金融服務(wù)行業(yè)的安全高管Larry Larsen曾擔(dān)任過(guò)各種網(wǎng)絡(luò)安全領(lǐng)導(dǎo)職位。他表示�����,通常情況下,成為成功的首席安全信息官的最大不利因素之一是過(guò)度關(guān)注獲得預(yù)算�。那些認(rèn)為首席安全信息官能夠得到了他們所需的所有資金的人,很可能對(duì)現(xiàn)實(shí)沒(méi)有準(zhǔn)備�。Larsen說(shuō):“如果他不能自信地去董事會(huì)為其提議的支出進(jìn)行辯護(hù),以抵御日益復(fù)雜的網(wǎng)絡(luò)威脅���,而且不能得到他們的支持和理解,那么他可能不適合擔(dān)任首席安全信息官�����?!?/p>
5、過(guò)于技術(shù)化
技術(shù)和技能對(duì)于良好的網(wǎng)絡(luò)安全至關(guān)重要����。但是過(guò)于技術(shù)化是一個(gè)缺點(diǎn),因?yàn)樗砻髯鳛槭紫踩畔⒐?,其采用的方法可能傾向于使用技術(shù)應(yīng)對(duì)面臨的每個(gè)安全挑戰(zhàn)。現(xiàn)實(shí)情況是����,作為一個(gè)安全領(lǐng)導(dǎo)者,首席安全信息官的角色實(shí)際上是管理網(wǎng)絡(luò)風(fēng)險(xiǎn)�����,同時(shí)使其公司繼續(xù)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)。
McKenzie說(shuō):“那些認(rèn)為采用某種工具或?qū)崿F(xiàn)審計(jì)或合規(guī)控制清單是解決所有安全問(wèn)題的靈丹妙藥的人�,并不勝任首席安全信息官。如果他認(rèn)為網(wǎng)絡(luò)安全是非此即彼的事項(xiàng)�����,或者如果無(wú)法調(diào)整自己的思維和戰(zhàn)略����,以跟上不斷變化的威脅格局和業(yè)務(wù)方向,那么他并不勝任首席安全信息官�����?����!?/p>
Larsen表示���,從其他方面來(lái)看�,過(guò)于注重技術(shù)的首席安全信息官是不合格的���。那些認(rèn)為首席安全信息官的職責(zé)就是確保企業(yè)擁有最新的下一代防火墻���、自適應(yīng)端點(diǎn)檢測(cè)和響應(yīng)工具以及其他技術(shù)的人�,往往無(wú)法理解網(wǎng)絡(luò)攻擊者的行為和動(dòng)機(jī)���。
他說(shuō)�����,“作為首席安全信息官,需要了解網(wǎng)絡(luò)攻擊者到底想要什么?為什么要進(jìn)行攻擊?他們和誰(shuí)合作?如果網(wǎng)絡(luò)攻擊者想在遭到網(wǎng)絡(luò)威脅之前采取行動(dòng)��,就必須考慮這些因素以及其他許多變量��,更不用說(shuō)在威脅發(fā)生時(shí)做出的反應(yīng)了�����?��!?/p>
文章標(biāo)題:網(wǎng)絡(luò)安全專業(yè)人士了解自己是否勝任首席信息安全官的五種方法
當(dāng)前URL:http://uogjgqi.cn/article/cdggdij.html
