Mary K. Pratt 沈建苗

首席信息安全官Omar Khawaja的公司Highmark Health大規(guī)模改用遠程工作環(huán)境時，他只有一項重要任務：讓員工們能夠從任何地方順利完成工作。

但為了盡快完成這項任務，Khawaja提議放寬某些控制措施。他這樣解釋：“我們存在的目的就是成為業(yè)務賦能者，因此如果我們阻止業(yè)務部門開展要做的工作，那將毫無意義?！?/p>

Khawaja的提議看似很激進，不過他表示自己知道其他剩余的安全層可提供所需的保護。不過，他還是希望高管團隊的其他成員與自己一樣信心十足。

他們確實信心十足。

他說：“我得告訴他們，我們在放寬控制措施，對方的答復是‘如果你進行過分析，覺得這么做是對的，那么我們將全力支持?！?/p>

CISO們發(fā)現(xiàn)其角色已發(fā)生了變化，從專注于戰(zhàn)術(shù)部署的管理角色轉(zhuǎn)向注重業(yè)務戰(zhàn)略和風險管理的行政角色。

作為這種變化的一部分，CISO們必須在所有利益相關(guān)者（客戶、合作伙伴、員工、董事會成員及其他高管）當中樹立信心，堅信他們和安全團隊在制定網(wǎng)絡(luò)安全決策時牢記本組織的最大利益。

換句話說，CISO們必須贏得利益相關(guān)者的信任。唯有這樣，面對不斷變化的形勢，甚至不同尋常的情況，每個部門開展日常業(yè)務時，才堅信安全部門可以始終如一地保護人員、隱私、系統(tǒng)和數(shù)據(jù)。

Gene Fredriksen是一名資深的安全高管，現(xiàn)在擔任全美信用合作社信息共享和分析組織（NCU-ISAO）的執(zhí)行董事，兼Pure IT信用合作社服務公司的網(wǎng)絡(luò)安全負責人。他說：“現(xiàn)在發(fā)生了天翻地覆的變化。大家的工作方式不一樣，覺得很不適應。因此作為一名安全人員，你得建立起這種信任。這是你工作的一部分，也是公司花錢雇你的目的?！?h3>基本要素

CISO培養(yǎng)信任的能力不僅僅囿于深奧的討論或商學院的演練：專家們表示，對于任何想成功履行角色的CISO來說，培養(yǎng)信任都是一個基本要素，因為這項能力使他或她能夠落實為本組織確保安全所需的政策、程序和技術(shù)，從而向其他人（包括客戶）證明他們與該公司的聯(lián)系很安全。

IT服務公司Garnet River LLC的首席信息安全官Michael D. Weisberg說：“如果你沒有建立信任，那你的動機就會受到質(zhì)疑?！?/p>

他表示，CISO們需要受到信任，那樣“他們舉手，對可能危及他們竭力所保護的對象的政策、項目或想法提出看法時，會受到重視?！盬eisberg表示，只有彼此信任，利益相關(guān)者才會停下來聽取CISO的建議。

Weisberg補充道，另一方面，不能將CISO視為“一味拒絕的部門”，多年來許多CISO被打上了這樣的標簽。他們需要提供這種解決方案：讓組織、合作伙伴和客戶能夠執(zhí)行預期的任務，又不使他們面臨不可接受的風險。

麻省理工學院斯隆商學院（CAMS）的網(wǎng)絡(luò)安全執(zhí)行總監(jiān)Keri Pearlson博士補充道：“大家信任幫助自己解決問題，并樂于提供幫助的同事和同仁?！?p>

贏得信任

Monica Rowe是密蘇里州堪薩斯城Mazuma信用合作社的首席信息安全官，也是網(wǎng)絡(luò)安全女性組織（WiCyS）的成員。她在目前擔任的崗位、乃至整個職業(yè)生涯中都采用了這種方法。

她表示，自己不僅向公司的其他高管宣講安全問題， 還竭力在其組織的所有層級建立良好的關(guān)系。她解釋說：“你應該把窗簾拉開一點，透露一定程度的詳細信息?！边@種做法可幫助高管團隊從業(yè)務風險方面了解安全需求。

因而，她表示其同事明白“我們在為共同利益而努力”，這反過來意味著他們相信她為整個組織做出最合理的選擇，而不只是為安全職能部門做出最合理的選擇。

Rowe已看到了贏得這種信任后收到的成效。她提到自己在2019年因而獲得高管團隊的支持，以加強該信用合作社的某些安全方面，包括VPN功能。

她說：“首席執(zhí)行官批準了資金，由于他對我深信不疑，所以沒有質(zhì)疑我在這方面的要求?！?p>

高管團隊相信她認為需要改進安全的觀點，于是這家信用合作社迅速加強了遠程工作能力，以應對新冠疫情，升級后的VPN證明有能力應對更大的負載。

她補充道：“信任讓你能夠左右那些影響整個公司的決策。”

信任的價值

當前的情形也強調(diào)了CISO們需要在員工、合作伙伴和消費者當中建立起信任，因為他們都已經(jīng)歷了新冠疫情帶來的種種轉(zhuǎn)變，與此同時他們看到有關(guān)重大網(wǎng)絡(luò)安全攻擊的更多報告，比如去年7月眾多知名的Twitter賬戶被黑。

這點完全可以肯定：普通人都在密切關(guān)注。畢馬威的2020年報告《企業(yè)數(shù)據(jù)責任方面的新要求》調(diào)查了1000名美國人，結(jié)果發(fā)現(xiàn)87%的人認為數(shù)據(jù)隱私是一項人權(quán)，91%的人表示企業(yè)應帶頭肩負起企業(yè)數(shù)據(jù)責任。

貝恩公司的合伙人Steve Berez設(shè)立了該公司的企業(yè)技術(shù)業(yè)務，他說：“人們越來越認識到與他們有業(yè)務往來的公司，甚至與他們沒有直接業(yè)務往來的公司擁有大量的數(shù)據(jù)。除了由此帶來的好處外，越來越多的人還意識到由此帶來的風險。因此大體說來，CISO的工作主要與信任有關(guān)，建立信任，好讓別人相信提供給該公司的數(shù)據(jù)是安全的。這可能是當下CISO最重要的角色?！?p>

首席執(zhí)行官們已心領(lǐng)神會，因為現(xiàn)在大多數(shù)首席執(zhí)行官認為，要在數(shù)字化時代取得成功，與利益相關(guān)者建立和維持信任至關(guān)重要。普華永道在其第21屆全球首席執(zhí)行官調(diào)查中發(fā)現(xiàn)，全球87%的首席執(zhí)行官致力于加強網(wǎng)絡(luò)安全，以贏得客戶的信任。

普華永道咨詢業(yè)務負責人Sean Joyce說：“隨著經(jīng)濟數(shù)字化，我們現(xiàn)在意識到信任到底多重要?！彼瞧杖A永道的美國和全球網(wǎng)絡(luò)安全與隱私業(yè)務負責人。

從賣點到社會使命

Joyce認為，除了展示給員工、業(yè)務合作伙伴和內(nèi)部的負責人外，企業(yè)組織保持安全和隱私的能力還是展示給客戶的一個賣點。

他提到了其所在的在線銀行，這家銀行部署的一項安全功能最近阻止了他當時進行的一次不尋常的采購（沖浪板練習），在詢問他是否要銀行授權(quán)這筆支出的同時，給他發(fā)來了短信。這種功能使這家在線銀行與眾不同。

他補充道：“這就是CISO所做的事情，他們利用安全功能讓自家品牌脫穎而出。”

實際上，普華永道的《2020年數(shù)字化信任洞察脈動調(diào)查結(jié)果》將信任列為CISO須向其企業(yè)組織提供的關(guān)鍵要素之一，建議CISO們“另辟蹊徑，以改善安全、彈性和信任，同時通過有效地監(jiān)管網(wǎng)絡(luò)安全預算來幫助遏制成本?！?p>

CISO們可能沒有太多的選擇，只能這么做，因為社會日益要求這種“數(shù)字化信任”，達拉斯的律師Benjamin Wright如是說。他專注于技術(shù)法，在美國私人營利性公司SANS Institute擔任高級講師。

他說：“社會正在通過法律并執(zhí)行規(guī)定，表明‘這是我們要求你滿足的復雜要求，如果你未滿足這些要求，未為該數(shù)據(jù)確保安全，將受到懲罰?！?/p>

已于2020年初生效的《加利福尼亞州消費者隱私法》就是個典型案例，但不是唯一的法規(guī)。包括緬因州和內(nèi)華達州在內(nèi)的其他州也已頒布了數(shù)據(jù)隱私法，而其他州出臺了立法。那些法規(guī)效仿歐盟早在2018年生效的《數(shù)據(jù)保護通用條例》（GDPR）。

CISO的新使命

然而，培養(yǎng)數(shù)字化信任對于許多人而言并非易事。

畢馬威的《企業(yè)數(shù)據(jù)責任方面的新要求》調(diào)查發(fā)現(xiàn)，68%的受訪消費者不相信企業(yè)會以合乎道德的方式出售個人數(shù)據(jù)，54%不相信企業(yè)會以合乎道德的方式使用個人數(shù)據(jù)，53%的人不相信企業(yè)會以合乎道德的方式收集個人數(shù)據(jù)，50%的人不相信企業(yè)會保護個人數(shù)據(jù)。

戴爾技術(shù)公司聯(lián)合英特爾和獨立調(diào)研機構(gòu)Vanson Bourne，對來自40多個國家的4600名業(yè)務負責人開展了一項調(diào)查：《2018年數(shù)字化轉(zhuǎn)型指數(shù)》，結(jié)果發(fā)現(xiàn)，49%的人“擔心本組織在5年后不值得信賴?！?/p>

Brian Haugli是咨詢公司SideChannel Security的合伙人兼聯(lián)合創(chuàng)始人，之前擔任過首席信息安全官。他表示，專家們聲稱，那些憂心忡忡的組織繼續(xù)將安全視為阻礙速度和發(fā)展的因素，原因在于他們不相信安全職能部門與本組織的業(yè)務發(fā)展相一致。

因而，他們的CISO常常無緣早期階段的戰(zhàn)略性討論，僅在后期階段才參與到計劃或項目中，這時候整合安全比較困難。

Haugli表示，與此同時，同樣這些CISO可能沒準備好接過建立信任這項重任。他們可能尚未將自己視為業(yè)務賦能者、關(guān)鍵的顧問和戰(zhàn)略合作伙伴，而是仍將其角色視為技術(shù)監(jiān)督和實施一項被動應對的安全計劃。

然而專家們強調(diào)，領(lǐng)先的CISO們早已積極奉行建立信任是可交付成果這一理念，而且確實將信任視作整個安全職能部門的中心主題。

這就是Highmark Health的首席信息安全官Khawaja采取的方法。他認為信任高度體現(xiàn)了他和其安全團隊所做的工作，2019年初他們重寫安全計劃的使命聲明，以便與公司的戰(zhàn)略愿景更保持一致時，實際上宣布了信任的重要性。

舊的使命聲明提到了安全的3個業(yè)務目標：確保合規(guī)、隱私和效率。新的愿景聲明寫道：“我們的愿景是打造人們明確相信自己的信息是安全的環(huán)境?！?/p>

本文作者Mary K. Pratt是常駐馬薩諸塞州的自由撰稿人。

原文網(wǎng)址

https：//www.csoonline.com/article/3444940/the-ciso-s-newest-responsibility-building-trust.html