众所瞩目的CISO角色已然生变了吗?(二)

日期: 2014-11-13 作者:Kathleen Richards翻译:Viola 来源:TechTarget中国 英文

接续《众所瞩目的CISO角色已然生变了吗?(一)》 关于战术真相 该研究机构的创始人及董事会主席Larry Ponemon,在他展示这些初始发现时指出,这一发现就CISO在战略设置与策略制定中所起的作用直接达成共识。他说:“这再次说明CISO实际更偏战术一些—这并不是荒诞的说法;这也不让人意外。” 犯罪阻止部门——安全官工作完美的一天 · 发现了系统漏洞 19%· 阻止了犯罪行为 32%· 处理了犯罪行为 33%· 获得了认可 2%· 说服了管理层 3%· 培训了管理层/董事会 3%· 保障资金安全 3%· 保护了同事/个人……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

接续众所瞩目的CISO角色已然生变了吗?(一

关于战术真相

该研究机构的创始人及董事会主席Larry Ponemon,在他展示这些初始发现时指出,这一发现就CISO在战略设置与策略制定中所起的作用直接达成共识。他说:“这再次说明CISO实际更偏战术一些—这并不是荒诞的说法;这也不让人意外。”

犯罪阻止部门——安全官工作完美的一天

· 发现了系统漏洞 19%
· 阻止了犯罪行为 32%
· 处理了犯罪行为 33%
· 获得了认可 2%
· 说服了管理层 3%
· 培训了管理层/董事会 3%
· 保障资金安全 3%
· 保护了同事/个人 5%

N=任职于1000人或以上规模公司的133位CISO,《2013薪水基准报告》,Ponemon Institute。

Ponemon研究还发现,在1000人以上规模的公司,CISO的虚线关系分别涉及IT运维(78%)、数据中心管理(55%)、公司合规(39%)、业务连续性管理(36%)、隐私官(28%)以及企业风险管理(16%),而人力资源与公司财务位列最后。

参与此次调查的CISO们资历也有所不同:34%的安全官有MIS和计算机背景,20%有法律背景,16%有军队背景,而14%有情报经验。

Brody认为:“你可以录用任何聪明的人,通过正确的培训将他们培养成信息安全从业人员。要升迁至CISO职位,此人还需要具备极强的耐受力、使混乱变为有序的组织能力、跨越高管与工程技术间的鸿沟进行高效沟通的能力……而且无论董事会上的西装领带还是后勤部门和IT部门中的夏威夷衬衫和牛仔裤着装,他都能同等自若。”

“没人会教给你这些技能,”Brody接着说,他本人职业生涯始于情报界,随后换到命令控制的世界,接着进入信息安全领域(跨域的多级安全),经历几个管理职能后到CISO职位。“你必须去学习它们。你还必须去找到问题、解决问题,接着进入下一个问题,然后相应地书写你的简历。”

Gartner分析师Proctor推荐大型组织首先应创建角色定义,然后“找到首要理解业务其次理解安全技术的适合人选。”

“如果你认为问题可以通过技术解决,那么你也许并不理解问题实质,”Brody认为,“真正要做的事情是整体考虑。行政固然很重要,但你不能对技术一无所知。你的部分工作是制定技术控制措施以及那些合规框架的相关控制......,而除此之外你也还必须考虑其他方面。”

随着源源不断新的安全控制技术,挑选最适合企业架构的技术将是一项艰巨的任务,也是这份工作最困难的一面。“有太多好主意”,Brody认为,而针对所有这些技术控制的深入评估在信息安全空间完全缺失。

每一位信息安全官都在进行决策,而不幸的是,一些最好的法子是单点解决方案。“当有整体架构可确保所有不同领域的安全时,首席信息安全官不可能关注于单点方案上。”他接着说。“单点方案不能解决1%的问题,因此你总是在寻找可以采用的企业级方案以改进风险概况。”

未知的职业通道

尽管这些工作的重要性,信息安全职业通道一直定位不清,同时还需要更多的劳动力。美国国土安全部于2013年7月发布的《美国国家网络空间劳动力框架》,旨在就角色定位、技能要求及职业通道进行员工教育。该框架由美国国家标准和技术研究院(NIST)、美国国家网络空间安全教育计划(NICE)与政府和私营实体联合开发。根据这个框架,CISO的定位不同于信息系统安全官、IT总监以及风险执行官,其主要负责安全项目管理:

管理组织内的信息安全隐患、特定项目或承担其他领域的责任,包括战略、人员、基础设施、政策执行、应急规划、安全意识和其他资源。

就网络空间安全而言,根据这个框架定义,首席信息官负责战略规划与策略制定。Clinger- Cowen法案(前身是1996年的信息技术管理变革法案)定义了政府部门的CIO职能。2002年的联邦信息安全管理法案(FISMA)定义了高级机构信息安全官,它已逐渐成为首席信息安全官。这两个角色都在持续发展中。

Brody认为,当CIO与CISO在企业中协同工作时,CIO的工作本质是“电源、ping以及管道”。CISO职位是保护、防御、回应、响应及恢复,而且这一连续的信息安全可能会干涉CIO的预算优先级以及保持所有系统运行的意愿。Ponemon研究表明,如果CISO绕过CIO、直接向董事会以及其他高管汇报,通常这种汇报方式会为CISO带来更高的薪酬。

Ponemon研究表明,如果CISO绕过CIO、直接向董事会以及其他高管汇报,通常这种汇报方式会为CISO带来更高的薪酬。

CISO向董事会汇报的方式(针对1000人或以上规模公司的研究) 

不做汇报

33%

非正式的,事件驱动

32%

正式的,定期汇报

19%

非正式的,由CEO或董事会随意要求的

5%

正式的,不定期汇报

3%

N=133位CISO,《2013薪水基准报告》,Ponemon Institute。

Brody认为:“这两个角色都在演进中。让我们思考IT技术的未来。如果每一个企业都将采用“自带设备”(BYOD)办公方式,减少基础设施投入,把所有应用都放到云里面去,那么CIO与安全官的职能很快将进行对调。”

业界需要为信息安全从业人员定义一条职业通道,并指引他们获得更好的职业发展。Brody认为,CISO职业现在仅仅在做自我定位。他说:“它是一片这样的职场,成功未获得通常意义的承认,而失败被不成比例地过度强调,有时还会登上《华盛顿邮报》头版。但它是非常有意义的精神享受,也即完成某件事的当天结束时获得的那种成就感。信息安全这类职业没有常规可循。”

作者

Kathleen Richards
Kathleen Richards

相关推荐