如何与C级管理层建立更佳信息安全关系

本文探讨信息安全团队如何与C级管理层有效沟通,将安全从成本中心转变为价值驱动,涵盖人员配置、安全差异化、持续风险管理等策略,提升组织安全态势。

如何与C级管理层建立更佳信息安全关系

Josh Thomas //

在网络安全/信息安全领域工作的人们经常面临的一个更具挑战性的事情是说服C级管理层我们为组织带来的价值,以及我们如何在组织成功中发挥关键作用。如果我们幸运的话,我们为一位理解不断演变的威胁形势的首席信息安全官(CISO)工作,并且他能够得到CEO/CIO/CFO/CMO或其他C级高管的倾听和支持。如果我们不那么幸运,我们会面临阻力、对我们为改善组织安全态势所追求的项目的严格审查,甚至更糟的是,蔑视!“为什么我们要付这些网络安全人员大笔钱,为什么他们总是要求更多预算!难道他们不知道自己是成本中心吗!”这可能是我们所有人都曾遇到过的反应。

那么,作为专业人士,我们可以做些什么来提高C级管理层对安全重要性的理解?以下是我的一些想法。

人员问题

任何在信息安全角色中待过超过五分钟的人都见过它。我们中的大多数人因为它而夜不能寐。通常情况下,组织根本没有足够训练有素的人员来有效完成工作。这导致员工倦怠和不满。我想不出比一个心怀不满且拥有域管理员(DA)凭据的安全分析师更危险的场景了。在C级管理层,他们必须理解人员配备不足最终会导致人员流失。我经常与任何级别的管理层使用的一个类比是:你必须像配备消防部门一样配备信息安全团队。这可能意味着你的团队并非100%的时间都处于100%的利用率,这是可以的。当存在“空闲”时间时,它为员工提供了更新和审查程序文档、熟悉新技术套件等的完美机会。你知道,通常那些在我们处于100%利用率时被推到次要位置的任务。回到我的类比,虽然消防员经常在消防站闲逛、清洁装备、洗车和锻炼,但当五级火警呼叫到来时,团队已经准备好出发。配备信息安全团队应该以同样的方式思考。

安全作为差异化因素

CEO应该将强大的安全计划视为将“成本中心”转变为“利润中心”的机会。虽然我不会建议CEO发布新闻声明断言他们的组织是无限安全且“防黑客”的,但C级管理层应该利用各自组织在信息安全方面的投资作为与客户和供应商建立更高级别信任的机会,并作为超越竞争对手的开口。这不应该止步于遵守各种法规和合规框架。必须证明组织内部建立了漏洞管理程序,定期进行内部和外部渗透测试,拥有明确(且经过测试的!)的事件响应程序等等。这些特性和能力可以并且应该被用来吸引新业务,并与客户、合作伙伴组织和未来客户建立那种信任级别。

非一劳永逸的命题

可能困扰C级管理层的较大误解之一是,如果组织今天安全,明天也会安全。我们所有人都深知的可悲现实是,威胁形势比股市更不稳定。我们的工作是教育C级管理层关于这种动态和严峻的现实。更重要的是,我们必须帮助他们理解,主动出击并拥有系统来应对不断变化的威胁形势最终会更好地保护企业,并且是帮助确保业务连续性和对收入流干扰最小化的一个方面。没有什么比带领他们了解收入流中断的多种场景更能迅速引起C级管理层的注意了。

透明度

我们安全人员很容易想要躲在我们的隔间里,反复思考我们的职业在高层中是如何被误解的。但不要这样做!努力与组织领导层打开沟通渠道。努力实施在整个组织中平衡安全与业务目标的政策。成为值得信赖的顾问。在水冷却器旁听说一个新的软件开发项目正在进行中,就一些最新的安全编码实践提出一些随意的建议。通常,这些非正式的对话可以导致组织业务方式的根本转变,并有助于确立在任何新项目开始时将安全纳入考虑的必要性。证明“你是团队的一员”并且对业务需求敏感,可以在很大程度上将信息安全团队建立为“值得信赖的内部人士”,以业务的最佳利益为出发点运作。

培训

我们理解,培训资金可能稀缺,但这是绝对必要的。我们如何证明培训资金的回报率?一种方法是采取培训培训师的方法,这可以在整个企业中扩展知识。团队成员应该从培训活动回来并将他们的知识传授给团队的其他成员。虽然派遣团队成员参加为期一周的关于任何一项技术的培训课程很棒。但关键的是,当该成员被所谓的巴士撞到时,知识不会随之消失。对工具棚中的所有工具都有记录的“操作指南”确实有助于解决当有人离开时产生的知识差距。我们应该敏感地意识到,培训是公司对我们的一项投资,我们有责任不让这些知识搁置积灰。采取这种方法有助于向领导层证明未来培训机会的费用是合理的。这是蝴蝶效应。

工具和自动化

认为一个新应用程序就足以保护公司IT基础设施的看法是短视的。虽然我不认识一个不喜欢坐在黑暗房间里配置最新防火墙、IDS、DLP等解决方案的IT/信息安全人员,但认为“我们有一个应用程序来处理”就安全的看法是危险的,并且新技术带来新挑战。信息安全人员可以通过将威胁场景映射到安全洋葱的每一层来帮助改变这种心态。能够向领导层展示当任何一层防御不到位时受到负面影响的情况有助于缓解这一问题。拥有一个与特定威胁场景相关联的安全架构,可以让C级管理层更好地理解他们的风险状况,并显示防御漏洞存在的位置。我们的责任是帮助引导他们远离“我们有一个应用程序来处理”的心态,并且能够以简洁的方式与他们沟通,展示对底线的负面影响通常非常有效。

承担风险

就像船长对船上的所有操作方面负责一样。C级管理层,更具体地说,CEO负责其各自组织内的所有操作,包括安全。对网络入侵的可能性视而不见不仅是疏忽,而且是危险的。重要的是他们要理解,问题不在于是否会被攻击,而在于何时(如果不是已经)被攻击以及组织在发现攻击时如何反应。建立安全协议可能使公司的名字不会成为晚间新闻的头条。如果发生这种情况,C级管理层需要有一个公共关系计划来管理媒体……该计划只是安全洋葱的另一层!

准备好了解更多吗?
通过Antisyphon的实惠课程提升您的技能!
Pay-Forward-What-You-Can培训
提供实时/虚拟和点播服务

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次