當Ian Schneller在20世紀90年代初進入職場時,網絡安全才剛剛成為企業內部的一項職能,這是一項專門的職能,主要是以技術能力發揮作用,挫敗對本企業的攻擊,并在某種程度上挫敗對客戶的攻擊。Schneller回憶道:“這就是我們的職責所在,抵御攻擊者的持續攻擊,保護企業的系統、信息和服務,這是一個非常技術性的角色,在許多情況下,它是從內部工作的人發展而來的,可能是系統管理員,也可能是開發人員,或者是具有非常技術背景的人。”
從那時起,Schneller在安全運營部門一步步晉升,現在擔任醫療保健服務企業(HCSC)的CISO。2023年,他成為第一個在Dallas CIO新設立的CISO類別中獲得Orbie獎的CISO,這一成就突顯了Schneller在創造創新的工作環境和維護整個企業敏感信息和系統的完整性方面的成功。隨著他的崛起,他見證了他的領域的演變。到2017年,70%的財富500強企業已經雇傭了CISO,而且這個數字還在不斷攀升。
無數的CISO監管著大型和復雜的企業,這些企業管理著構成安全企業的所有活動,這些活動不僅涉及國防的技術方面。
數據支持了Schneller關于CISO角色發生了多大變化的觀點,例如,Splunk最近的一項調查觀察到,“86%的CISO表示,自從他們開始工作以來,他們的角色發生了很大變化,這幾乎是一份不同的工作。”
以下是Schneller認為,在目前的情況下,CISO需要遵守的五個關鍵原則:
1.認識CISO角色的職責
Schneller說,認識到今天的角色是多么全面,是成為或找到強大的CISO的第一個宗旨。在早期,CISO保護他們的企業和客戶就足夠了,而且大多數情況下他們可以自己做到這一點。今天,為了保護企業,CISO必須與整個企業的領導者進行協調,在某種意義上,還必須與每一位員工進行協調。
“它不再是一個豎井,”Schneller說,“保護企業只是他們必須具備的能力之一,他們還必須能夠招聘人才,倡導網絡安全投資,評估收購,保護品牌,并引導合規,而合規已經擴大,簡而言之,這是關于成為一名商業領袖的問題。”
2.負責任地增長
Schneller的第二個信條“負責任地增長”反映了應該指導現代CISO的兩種態度。“負責任”背后的態度是更加傳統和明顯的:保護企業,然而,“增長”承認CISO角色的演變,它的責任是實現和推動企業的增長。
Schneller說:“你的企業面臨著巨大的壓力,需要通過創新來實現增長,這項創新可能是購買并整合一種將為客戶服務的新技術,它可能是與你的應用程序開發人員一起自己構建的。無論它是什么,他們都面臨著開發它的壓力。當戰略形成時,CISO需要坐在談判桌前,理解為什么會有創新在那里,并知道企業將在有或沒有你參與的情況下部署它。最糟糕的情況是,你擋住了路。當一個產品準備好了,它也應該是安全的。”
Schneller說,在談判桌上坐一坐是最起碼的。同樣重要的是了解企業打算如何發展,并建立合作伙伴關系,以消除孤島并確保安全不會成為流程中假定的一部分,從而使CISO和其他領導者保持一致。安全變成了文化,因為它是戰術的。“當企業準備好部署這一新功能時,它就準備好了,而且它是安全的,因為團隊是共同結盟的。”
3.維護你的聲譽
Schneller的第三個信條是取得平衡。一方面,保護你的聲譽——或者首先建立它——需要透明度,特別是在安全方面。他說,安全已經變得如此重要,以至于它已經成為許多交易的障礙:“我們經常在B-to-B交易中聽到這一點,CISO將被要求打電話給客戶的CISO或CIO,這樣我們就可以就安全問題進行一些實質性的討論。”
Schneller強調,這也是現代CIO必須能夠導航整個企業及其業務活動,而不僅僅是工作的技術方面的原因。“這其中很大一部分是高管在場的觀點,能夠傳達影響,并擁有幫助另一個利益相關者的實際手段,而且你必須能夠足夠靈活地與銷售和法律團隊合作,這樣你就不會過度承諾。”
另一方面,如果管理不當,透明度可能會對你不利。“現在世界上其他國家都意識到了你的安全能力,這真的是關于理解。首先,透明度可以幫助不好的行為者洞察你的安全姿態。他們可能會設法做到這一點,例如,通過審查你企業的記分卡,如果企業有記分卡并已將其公開提供的話,或者,這些參與者可能對你所在行業通常遵循的協議有所了解。”
Schneller說,無論如何,你都需要知道這些原因,你不能為你沒有意識到的東西辯護,首先,你應該知道不良演員可能會把你的企業作為攻擊目標的原因,它是不是剛剛贏得了一個備受矚目的客戶?它是不是剛剛跨過了某個重要的流動性里程碑?不要只是勾選安全盒,還需要了解壞人的思考方式。
4.保護你的生態系統
所有這一切背后都有一個重要的事實:貴企業的網絡安全不僅依賴于你自己的防御,而且依賴于你生態系統中每個人的防御,特別是考慮到其中許多參與者將至少在一定程度上訪問你和你客戶的信息。“如果這個生態系統不安全,”Schneller說,“違反你的虛擬或實體法律可能會直接影響你的企業或你的客戶。”或許沒有比劍橋分析企業的崩潰更好的例子了。到塵埃落定時,Meta已經支付了近60億美元,這并沒有說明他們的非貨幣損失。直到今天,這一漏洞仍然困擾著他們的品牌。
你如何影響一家不是你經營的企業?“集體防御的概念在這里非常重要,”Schneller說,“你如何在行業、公用事業部門企業內合作,共同協作地提高整個行業的防御能力?”這又一次讓人回想起第一支柱,這是CISO必須具備超越工作技術層面的能力的另一個原因。
5.培養你的安全才能
Schneller鼓勵他的受眾考慮網絡人才的需求和供應之間的差距。“讀一讀任何一種公共媒體,”他說,“盡管數字可能有一點不同,但它們是一致的,因為有幾十個,如果不是數十萬個公開的網絡職位的話。”根據Statista的數據,去年2月,僅在美國就有大約75萬個網絡職位空缺。根據世界經濟論壇的數據,全球這一數字約為350萬,根據《網絡犯罪》雜志的數據,這種差距預計至少將持續到2025年。正如Schneller指出的那樣,這意味著企業將很難吸引網絡人才,他們將不得不在非傳統領域尋找人才。
有很多吸引安全人才的策略——讓薪酬與重要的東西保持一致,確保你有明確的職業發展道路——但所有這些都歸結為Schneller強調的一個更廣泛的點:品牌。你的企業必須表明,它認真對待網絡安全,它將為網絡安全人才提供一種文化,在這種文化中,他們可以解決具有挑戰性的問題,推進自己的職業生涯,贏得尊重,為企業的成功做出貢獻。不要假設網絡人才知道你的企業重視這些品質。“如果你在一家大銀行,”他說,“人們可能不會認為你是一個發展網絡事業的地方,但實際上,他們擁有龐大的網絡安全團隊。”
首先到哪里去找人才呢?非傳統來源是什么?Schneller傾向于兩個,首先是軍隊。“我是老兵招募的鐵桿粉絲,退伍軍人在網絡安全方面擁有很高程度的培訓和經驗,可以為你的企業做出偉大的貢獻。”許多商界領袖稱贊退伍軍人是員工,像Sophos這樣的一些企業甚至運營著自己的退伍軍人網絡安全項目。僅在2023年,軍方就在網絡安全項目上投資了112億美元。
第二個資源是高中、社區和附屬大學,這些機構塑造了大量畢業生,他們擁有在網絡安全領域出類拔萃所需的所有技能和雄心。Schneller提醒說,更重要的是正確的證書,或者更廣泛地說,正確的教育,在它到來之前,你可以幫助塑造并發展你的才華。“我鼓勵CISO找到你們當地的大學,并加入他們的顧問委員會,”Schneller說,“設立這門課程,幫助指導學生。“。
一年比一年快,網絡安全變得更加復雜和復雜,不好的行為者會發現新的漏洞進行攻擊,并使用新的工具進行攻擊,因此,CISO的企業將變得更加復雜和復雜,因此CISO只有在很大程度上依靠上述原則才能成功地指導企業。“CISO必須是一位企業領導者,”Schneller說,“他是一位能夠駕馭整個企業的高管。”
