作為IT決策者 CISOs能變得更有效嗎

首席信息安全官(CISOs)通常是第一個承擔責任時出現(xiàn)安全漏洞,然而很少管理決策過程的一部分時,執(zhí)行安全在整個it基礎設施——至少這是最近的一項調(diào)查ThreatTrack安全指示。

調(diào)查顯示，在接受調(diào)查的美國203名高管中，近四分之三的人表達了對CISOs領導能力的懷疑。當被問及CISOs是否應該獲得一席之地，是否應該成為組織領導團隊的一員時，74%的高管回答說:“不?！?/p>

這些受訪者包括首席執(zhí)行官、總裁、首席信息官、首席運營官、首席財務官以及為公司提供高級法律顧問的人員。

報告還指出，高管們有一種先入之見，認為CISO經(jīng)常是安全漏洞之后的“替罪羊”。令人震驚的是，44%的c級高管支持這一觀點，他們認為CISOs應該為“任何組織數(shù)據(jù)泄露”負責，而54%的人表示，CISOs不應該為網(wǎng)絡安全采購決策負責。

簡而言之，該報告指出，許多高管認為CISOs應該為入侵承擔責任，但這些高管中有許多人認為，CISOs在獲取防止入侵的技術和資源方面的影響力應該有限。對于那些擔任CISO角色的人來說，這是一個令人困擾的難題，這表明CISOs需要在他們的組織中更有發(fā)言權，并在企業(yè)中執(zhí)行更多的研究、報告和影響力。

雖然這可能會使CISO的角色變得不受歡迎，但一個簡單的事實是，如果沒有執(zhí)行安全策略的責任，沒有在企業(yè)的安全決策中發(fā)揮作用的責任，就不應該接受指責。

認為CISO是替罪羊的看法在零售(65%)和醫(yī)療(55%)公司中很流行，這可以讓CISOs得到一些安慰。這表明，這些高管中的大多數(shù)人都明白，這個角色受到了不公平的指責。

正是這種觀念讓CISOs在企業(yè)組織中改變了他們的角色，或許為他們提供了彈藥，讓他們成為管理團隊中更有影響力的成員，并直接向ceo報告，而不是向較低的C級管理人員報告。

部分問題來自c級主管，他們?nèi)匀徽J為CISOs是技術人員，他們最終努力通過讓技術妨礙數(shù)據(jù)訪問的便利性，從而加大企業(yè)開展業(yè)務的難度。事實上，CISOs正在尋求保護知識產(chǎn)權和該組織的運作免受使用安全技術的入侵。CISOs需要向整個管理團隊說明的一個重要區(qū)別。

可以說，實現(xiàn)這一點的最佳工具是以頻繁報告的形式出現(xiàn)的，報告顯示入侵嘗試已被阻止，安全問題已得到解決，以及總體威脅情況。幸運的是，市場上的大多數(shù)安全技術都提供了報告工具來實現(xiàn)這一點，而CISOs應該利用這些功能來讓c級管理人員敏銳地意識到組織的安全姿態(tài)，同時也讓他們的角色在組織中備受關注。

調(diào)查還要求參與者根據(jù)他們的總體表現(xiàn)對CISOs進行評分，結(jié)果顯示，大多數(shù)CISOs職位在防止數(shù)據(jù)泄露和復雜網(wǎng)絡威脅方面的能力得分為“B”或“C”(72%)。約28%的受訪者還表示，他們的首席信息官做出的決策損害了企業(yè)的利潤，這表明這些首席信息官要么沒有正確履行職責，要么更有可能沒有告知高管為保護資源而做出的決策的價值。

無論采取哪種方式，信息系統(tǒng)安全系統(tǒng)都需要加強工作，向執(zhí)行人員通報對現(xiàn)代技術的威脅以及必須采取哪些措施來保護這些資源- -這需要作出適當?shù)呐?，?jīng)常提出報告，最重要的是在本組織中提高知名度。