在我们回答标题中提出的问题之前, 让我们来看看首席信息安全官的典型工作职责:
- 设定愿景和策略- 首席信息安全官负责设置信息安全程序, 设定项目的愿景和实现愿景的策略.
- 安全操作- 在大多数组织中,首席信息安全官负责组织的安全操作, 其中包括安全工具和技术,以及对任何安全事件和漏洞的响应. 在这个时代, 下一代CISO还负责根据恶意行为者使用的威胁和技术收集威胁情报.
- 管理和遵从性- 设置负责组织的团队,使其能够遵守任何法规/遵从性要求,这一点也很重要. 这些授权是基于组织开展业务的行业(例如.g., if an organization processes/transmits/stores credit card information the organization has to comply with PCI; if an organization deals with patient health data that organization has to comply with HIPAA, 如果组织托管其客户数据, they may go for SOC compliance; an organization that wants to develop an information security program can start with ISO 27001/2 series of International security standards, 等.). CISO负责为组织设置/编写安全策略和标准.
- 安全意识和培训 首席信息安全官办公室负责教育员工应该遵循哪些安全最佳实践, 野外有什么安全威胁啊, 执行网络钓鱼活动并教育陷入网络钓鱼活动的员工.
- 风险管理- 理解业务问题并评估与新业务计划和项目相关的安全风险完全属于CISO的职责范围.
- 业务连续性和物理安全 – 在一些组织中,CISO办公室负责 业务连续性/灾难恢复,以及组织的物理安全. 在这些组织中,CISO的头衔被CSO(首席安全官)的头衔所取代.
- 定期向管理层和董事会汇报最新情况 —信息安全程序的状态, 指标, 报告, 机遇和挑战应定期处理和更新
在这个复杂的时代,在预算有限的情况下, 首席信息安全官不能把设定愿景和战略的责任推卸给一名员工.
首席信息安全官需要了解技术和技术术语. 在当今时代, 攻击面不断变化, 违反, 战术, 技术和程序, 如果ciso拥有相关的或必要的技术知识来理解和采用技术控制,这确实会对他们有所帮助, 用于减轻相关风险的工具和技术. 如果CISO是技术人员,他们可以与技术听众谈论技术术语.
另一方面,首席信息安全官也 必须了解组织的业务目标 因此需要有一种商业思维. 首席信息安全官必须用基于风险的语言与高管和董事会沟通,将技术术语翻译成商业语言.
因此, 技术-业务(或业务和技术的混合)CISO将是该组织的理想人选. 这些是下一代ciso.
如果下一代首席信息安全官是一个亲力亲为的人,可以在团队遇到技术问题时卷起袖子帮助团队,那就锦上添花了.
技术人员更容易理解业务问题, 但是对于一个商人来说,理解一个技术问题是很困难的. 因此, 对于下一代CISO来说,理解技术问题并帮助业务解决这些问题是至关重要的,这些问题是业务能够理解和能够联系的术语/语言/行话.
欢迎来到这个新时代,准备成为下一代首席信息安全官!
