Myrna Soto 谈: 网络安全要求专业人员了解要保护的内容及原因

安全侠 2020-08-25
专栏 - 人物 发布于 2020-08-25 11:36:53 阅读 57 评论 0

传统上,网络安全行业及其从业人员精通技术,并且专注于技术工具和解决方案。当整个企业及其所有数据和所有人员都安全地安置在公司办公室和公司网络中时,此方法有效地发挥了作用,并且不需要评估和平衡风险。但是,这种模式已经在2020年之前随着数字化转型而开始转移,现在,COVID-19攻击危机已被破解。

在现代商业中,CISO第一次不能再在其安全计划的严格控制下运营。大规模远程工作带来了家庭工作环境中无法管理的安全风险。与此同时,攻击者也在加大恶意活动–钓鱼攻击在今年上半年上升了667%以上。如今,数据泄露给企业造成的损失可能是天文数字,平均为392万美元。对于组织来说,这一成本可能会有所不同,具体取决于他们发现和响应漏洞的速度。它不仅可能包括巨额罚款,还可能包括收入损失、品牌信任和知识产权损失,这些都可能无法挽回地影响组织的竞争优势。

所有这些都使得您公司内部的网络安全斗士了解您的企业是如何运营的,以便了解如何最好地保护它,这一点比以往任何时候都更加重要。Forcepoint最近对“华尔街日报”CEO/CISO进行的调查“C-Suite Report:The Current and Future State of CyberSecurity”强调了这一点:63%的网络安全“领导者”报告称,CEO和CISO之间缺乏共同语言可能会使确定组织的首要优先事项变得困难,53%的人表示这会使技术决策更具挑战性。也很能说明问题的是,报告称其董事会认识到网络安全至关重要,并将其作为关键业务战略的一部分全面参与其中的领导机构数量翻了一番。

通过CISO看到了让安全战略与业务更紧密地联系和集成所带来的机遇,因此我创建了一个新的角色,即业务信息安全官(BISO)。担任此角色的安全专业人员与业务部门领导建立了关系,以便更好地了解业务部门的目标,以及为取得成功需要保护和实现的内容。

我们的BISO不仅必须精通最新的网络安全威胁和技术,而且必须是优秀的沟通者和快速学习者。如果他们刚开始担任这一角色时不是这样,他们很快就会熟悉业务原则和术语。为了快速学习,我将它们嵌入到业务单位中,进行为期几个月的“值班”。我还提供了额外的教育等机会,帮助他们发展商业敏锐性。这不仅有利于企业,也有利于个人的职业发展。这一切都帮助他们开阔了眼界,看到了业务需求和前景,并使他们变得更加全面的员工和高管。另一方面也可能是有价值的:精通技术的业务方面的工作人员可以临时驻扎在安全组织中,以扩大他们的视角和知识。所有级别的交叉授粉只会增加理解,帮助安全更好地理解什么是危险的。

我很高兴能继续采用这种方法,在安全团队中培养具有类似跨职能活动的业务技能。成功的安全领导者都曾在运营岗位上工作过-管理团队、业务、盈亏。我想这是因为他们知道我们为什么要保住这笔生意。换句话说,他们了解业务目标。因为如果您不了解从业务角度保护的是什么,您如何进行正确的基于风险的分析?这就是我们正在做的事情背后的“那又怎样”。
关于作者
Myrna Soto是Forcepoint的首席战略和信任官。作为一家战略业务和技术领导者,Soto推动并支持公司的企业愿景、战略和计划,以保护公司内部和数千家Forcepoint公司的人员、关键数据和知识产权。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!