如何与高管层建立更佳的信息安全合作关系

本文探讨了信息安全团队如何与高管层建立有效沟通,包括人员配置、安全作为差异化优势、持续风险管理、透明度、培训及工具自动化等策略,旨在提升组织安全防护与业务连续性。

如何与高管层建立更佳的信息安全合作关系

Josh Thomas //

在网络安全/信息安全领域工作的我们,经常面临的一个更具挑战性的事情是说服C-Suite(高管层)我们为组织带来的价值,以及我们如何在组织成功中扮演关键角色。如果我们幸运,我们为一位理解不断演变的威胁形势的首席信息安全官(CISO)工作,并且他/她能够得到CEO/CIO/CFO/CMO或其他C级高管的倾听和支持。如果我们不那么幸运,我们会面临阻力、对我们为改善组织安全态势所追求项目的严格审查,甚至更糟的是蔑视!“为什么我们要付这些网络安全人员大笔钱,为什么他们总是要求更多预算!难道他们不知道自己是成本中心吗?”这可能是我们所有人都曾遇到过的反应。

那么,作为专业人士,我们可以做些什么来提高C-Suite对安全重要性的理解?以下是我的一些想法。

人员问题

任何在信息安全角色中待过超过五分钟的人都见过它。我们中的许多人因为它而夜不能寐。通常情况下,组织根本没有足够训练有素的人来有效完成工作。这导致员工倦怠和不满。我想象不出比一个心怀不满且拥有域管理员(DA)凭据的安全分析师更危险的场景了。在C-Suite层面,他们必须理解人员配备不足最终会导致人员流失。我经常向任何级别的管理层使用的类比是:你必须像配备消防部门一样配备信息安全团队。这可能意味着你的团队并非100%的时间都处于100%的利用率,这没关系。当存在“空闲”时间时,它为员工提供了更新和审查程序文档、熟悉新技术套件等的绝佳机会。你知道,那些当我们处于100%利用率时通常被搁置的任务。回到我的类比,虽然消防员经常在消防站闲逛、清洁装备、洗车和锻炼,但当五级火警呼叫传来时,团队已经准备好出发。配备信息安全团队应该以同样的方式思考。

安全作为差异化优势

CEO应该将强大的安全计划视为将“成本中心”转变为“利润中心”的机会。虽然我不会建议CEO发布新闻声明声称他们的组织无限安全且“防黑客”,但C-Suite应该利用各自组织在信息安全方面的投资作为与客户和供应商建立更高信任水平的机会,并作为超越竞争对手的 opening。这不应止步于遵守各种法规和合规框架。必须展示组织内部建立了漏洞管理程序,定期进行内部和外部渗透测试,拥有明确(且经过测试的!)事件响应程序等。这些特性和能力可以且应该被用来吸引新业务,并与客户、合作伙伴组织和未来客户建立那种信任水平。

非一劳永逸的命题

困扰C-Suite的最大误解之一可能是,如果组织今天安全,明天也会安全。我们都深知的可悲现实是,威胁形势比股市更 volatile。我们的工作是教育C-Suite这一动态和严峻的现实。更重要的是,我们必须帮助他们理解,主动并拥有系统来应对不断变化的威胁形势最终能更好地保护企业,是帮助确保业务连续性和对收入流干扰最小化的一个方面。没有什么比带他们走过多个收入流中断的场景更能迅速引起C-Suite的注意了。

透明度

我们安全人员太容易想躲在隔间里,沉思我们的职业在高层中是如何被误解的。但不要这样!努力与组织领导层打开沟通渠道。努力实施在整个组织中平衡安全与业务目标的政策。成为值得信赖的顾问。在水冷却器旁听说一个新的软件开发项目正在进行中,就一些最新的安全编码实践提出一些随意建议。通常,这些非正式对话可以导致组织业务方式的根本转变,并有助于确立在任何新项目开始时将安全纳入考虑的必要性。展示“你是团队一员”并对业务需求敏感,可以在建立信息安全团队作为“值得信赖的内部人”方面走得很远,以业务最佳利益为出发点运作。

培训

我们理解,培训资金可能稀缺,但它是绝对必要的。我们如何展示培训资金的回报 on investment(ROI)?一种方法是采取培训师培训 approach,这可以在整个企业中扩展知识方面发挥很大作用。团队成员应该从培训活动回来,并将他们的知识传授给团队的其他成员。虽然派一名团队成员参加为期一周的关于任何一项技术的培训课程很棒。但关键的是,当那名团队成员被比喻中的公交车撞到时,知识不会随之消失。对工具棚中的所有工具都有 documented “how-to guides” 真的有助于解决当有人离开时产生的知识 gap。我们应该敏感地意识到,培训是公司对我们的一项投资,我们有责任不让那些知识搁置积灰。采取这种方法有助于向领导层证明未来培训机会费用的合理性。这是蝴蝶效应。

工具和自动化

认为一个新应用程序就足以保护公司IT基础设施的看法是短视的。虽然我不认识一个不喜欢坐在暗房里配置最新防火墙、IDS、DLP,你说得出的解决方案的IT/信息安全人员,但认为“我们有个应用程序”就安全的看法是危险的,并且新技术带来新挑战。信息安全人员可以通过将威胁场景映射到安全洋葱的每一层来帮助改变这种心态。能够向领导层展示当任何一层防御不到位时受到负面影响的情况有助于缓解这一点。拥有一个与特定威胁场景相关联的安全架构,让C-Suite更好地理解他们的风险状况,并显示防御 gap 存在的地方。我们的责任是帮助他们远离“我们有个应用程序”的心态,并能够以简洁的方式与他们沟通,展示对底线的负面影响通常非常有效。

承担风险

就像船长对船上的所有运营方面负责一样。C-Suite,更具体地说,CEO tasked with 对其各自组织内的所有运营负责,包括安全。对网络入侵的可能性视而不见不仅是疏忽,而且是危险的。重要的是他们要理解,问题不在于他们是否会受到攻击,而在于何时(如果不是已经)以及组织在识别攻击时如何反应。建立的安全协议可能使公司名称免于成为晚间新闻的头条。如果发生这种情况,C-Suite需要有一个公共关系计划来管理媒体……该计划只是安全洋葱的另一层!

准备好了解更多吗?
通过Antisyphon的实惠课程提升你的技能!
Pay-Forward-What-You-Can 培训
提供直播/虚拟和点播形式

PowerShell 无 PowerShell 简化 WEBCAST:推文、节拍和表格:通过社交媒体进行C2

[返回顶部]

Black Hills Information Security, Inc.
890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447)
© 2008-2024
关于我们 | BHIS 公司家族 | 隐私政策 | 联系

链接

搜索网站

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次