CISO和CIO应如何共享网络安全所有权
最近ISACA对近3,700名全球网络安全专业人员的调查发现,虽然近一半(48%)的网络安全团队直接向CISO报告,但四分之一向CIO报告。尽管报告关系存在差异,但调查显示CISO或CIO之间在安全职能所有权方面没有显着差异,涉及网络攻击增加或减少的观点、检测和响应网络威胁的能力以及网络犯罪报告。
然而,该报告确实发现了与网络风险评估的执行估值、董事会如何优先考虑网络安全以及战略调整相关的差异。更重要的是,该报告还指出了一种越来越多的行业惯例,即CISO向CIO以外的任何人报告,尤其是当CISO的范围包括治理、风险和合规性、业务连续性/灾难恢复、欺诈、信任以及安全或危机时管理。
由于组织的规模、部门和监管要求等原因,CIO和CISO对网络安全问题的责任可能有所不同。尽管如此,随着网络安全与更广泛的业务元素越来越紧密地交织在一起,谁戴什么类型的网络安全所有权以及为什么这样的问题变得越来越重要。
01
网络安全责任:CISO与CIO
Lightico的CIO Omri Braun以这种方式总结了大多数CIO和CISO的网络安全职责之间的区别:“CIO更专注于确保使用正确的工具来最大限度地提高效率以及识别影响公司和不断寻找机会使用和生产更好的技术。CISO负责确保主动保护数据安全性、完整性等。”
Orange Cyberdefense的全球首席信息安全官Richard Jones对此表示赞同。“通常,CISO的角色是从运营角度看待安全,保护企业免受网络威胁。另一方面,CIO更注重通过设计将安全性构建到企业更广泛的技术堆栈和正在进行的数字化转型项目中,以提高弹性、提升用户体验并最大限度地提高效率。”
网络安全架构师Tee Patel甚至说,就安全投资回报率而言,CIO经常被迫“走党派路线”,而CISO通常需要更加独立,专注于保护组织本身。“让组织赚钱并实现目标(CIO)与保持安全(CISO)是现代CIO和CISO职位之间的显着差异。”
02
CISO的网络安全职责
Zoom的CISO Jason Lee表示,他的主要重点是保护关键信息,包括客户数据、员工数据和源代码。“在安全方面,考虑大局很重要。这包括查看与业务相关的第三方并评估如何最好地管理任何风险。我还负责尽可能多地武装员工,以确保他们为安全威胁做好准备并受到保护。”
对于HP Inc.的CISO Joanna Burkey来说,驾驭混合工作时代以保护企业是当前安全工作不可或缺的一部分。“在过去18个月左右的远程在家工作模式中,网络安全很容易对员工增加更多限制,因为工作通常在没有传统本地基础设施保护的情况下进行。” 然而,这些安全政策和限制是为远程工作是例外而不是常态的时候设计的,需要通过新的视角来看待,她说。“CISO现在需要考虑其他降低风险的方法如何仍然可以保护企业,但也承认现实生活中,尤其是在全球大流行之后,并不总是很好地遵守政策。”
Richard Jones补充说,管理由动态网络威胁格局和数字化转型浪潮相结合引起的过载是现代CISO角色的另一个组成部分。“网络安全现在需要融入企业运营的各个方面,并成为从CEO到入门级毕业生的每个人的首要考虑。”因此,CISO必须从头开始为公司数字环境的各个方面注入安全性,他说,确保它从数字项目开始就融入进来,最终减少安全团队面临的警报量,让他们能够更好地利用他们的技能和资源。
03
CIO的网络安全职责
特许信息安全协会首席执行官Amanda Finch说,虽然CISO负责网络安全的各种日常和前瞻性规划,但在大多数组织中,责任往往由CIO负责,CIO向CEO和董事会报告。“因此,CIO不能完全将责任交给CISO。相反,他们需要保持对安全战略的认识,并确保它不会使组织的整体战略处于危险之中,反之亦然。”
Tenable的CIO Brad Pollard表示,当今的CIO有一系列基于可用性、性能、预算和项目及时交付的安全责任。“CIO支持并支持组织内的每个业务部门。在这样做时,他们继承了每个业务部门的信息安全要求。”
例如,CISO可能负责定义安全参数,例如漏洞修复或访问控制的服务级别协议,但CIO有责任为所有业务部门满足这些要求,涵盖公司的所有技术,波拉德说。“现代CIO面临的主要网络安全挑战是满足业务需求,特别是保持预算和进度,同时保持安全的环境。”
埃塞克斯大学的CIO Jots Sehmbi表示,CIO的角色不仅仅是运营传统业务,它越来越多地包括实施新技术,为组织提供数字能力。“其中一些技术对组织来说可能是新颖的(例如,RPA、人工智能、物联网)并存在潜在风险,例如数据的架构方式。因此,CIO有责任深入了解任何新技术的网络安全趋势。”
04
冲突与合作
Lightico的CIO Omri Braun表示,鉴于世界不完美的现实,CISO和CIO不同的网络安全责任和目标可能会导致冲突。但是,他强调需要凝聚力,以确保“正在使用具有前瞻性的技术,该技术受到一层安全和安全实践的保障,不会危及公司、其数据或客户的数据。”
Jones说,CIO和CISO不能孤立地看待自己,他们必须明白,虽然他们可能有不同的目标,但他们走的是同一条路。“这两个角色之间的协作和沟通是现代企业中的关键。CISO和CIO必须合作利用SD-WAN、SASE和零信任等技术和方法,以支持这些新的安全、高效的工作方式,并且不会影响可用性。”他补充说,CISO和CIO也必须意识到彼此的约束并在其中运作。
Glover引用了此处涉及的监管问题,强调了国际监管社区中一个新出现的问题,监管机构现在认识到有责任了解其受监管实体提供的网络安全保证水平。“同一受监管行业的CIO和CISO之间需要加强合作。监管机构会做他们认为正确的事情,但通常会从当地的角度看待问题。这种积极影响与CIO和CISO的历史角色大不相同,但是,如果谨慎而富有同情心地进行,将降低业务成本,让更多资源集中在控制而不是报告上。
Lee补充说,网络安全在业务运营中的发展作用正在改变CIO和CISO之间的凝聚力,这是他在Zoom亲身体验过的。“我们都必须优先考虑网络安全并应对日益增加的威胁。在做出任何决定时,安全性必须是我们的首要考虑因素。保持参与彼此的战略和关键举措至关重要。即使我们认为不需要对方来确保我们保持在同一页面上并保持强烈的一致性,我们也会不断地在我们的策略中相互参与。这意味着我们的角色比以往更加紧密,合作变得更加重要。”
05
网络安全所有权的未来
展望未来,专家预测CISO和CIO的网络安全职责将发生显着变化。“我们将看到CIO和CISO努力使安全成为具有一致性的标准、行为和执行的可信来源——就像法律、医学和会计等职业一样——承担同样的责任,”Finch说。
Zscaler的CISO Marc Lueck认为CIO在未来几年将有一段有趣的网络安全之旅。“要么角色和个人将擅长平衡成本和收益模式截然不同的两种截然不同的基本服务,要么CIO将负责IT安全交付,由不再向他们报告的CISO管理并可能执行。两种模式都将存在,并且在合适的人担任这些角色时都会取得成功。”他指出,对于CIO而言,网络安全失败“目前并不令人难忘”,但对于CIO而言,网络安全将变得与效率和成本削减技能一样重要。
Pollard补充说,就像当代业务部门通过SaaS平台承担一些传统IT职责一样,CIO将更有责任在业务部门内寻找安全专家。“这些专家不仅需要知道如何保护所使用的特定技术,还需要了解对特定业务部门构成最大风险的威胁的态势感知,”他补充道。
Glover预测CIO和CISO的共同职责将在第三方连接和并购领域发生变化,两者都需要共同努力建立有意义的流程,以增加安全性和保障。“他们将共同努力,确保他们成为企业内重大举措的一部分,并在他们之间拥有实力和权威,就第三方关系以及收购和合并做出明智、深思熟虑的声明。”