CISOs面临的安全挑战与应对策略

关键要点

CISOs在资源紧张和文化障碍的情况下，必须应对许多新的挑战。除了传统的网络安全问题外，经济不稳定和地缘政治风云也日益凸显。创建清晰的风险接受声明能有效帮助CISOs优先处理各项任务。建立组织内的安全文化是不可谈判的优先事项。吸引并保留技术人才是当务之急，组织需要提供成长机会。

在当今瞬息万变的环境中，CISOs首席信息安全官正面临着前所未有的挑战。正如Kinly的CISO Don Gibson所提到的，除了“我们能否生存下一个网络攻击”的老问题外，今天的董事会更多地会询问：“我们能否在这样的经济时期生存？”以及“我们是否已为地缘政治风暴做好准备？”全球冲突加剧、经济不稳定以及新规制的迅速增长，给CISOs及其组织带来了越来越大的压力。

小火箭shadowsock官网下载

根据Foundry的一项最新调查，CISOs面临的一系列问题包括：预算紧张、人才招聘和留存困难、员工安全意识和培训不足、组织文化障碍等。这些因素均降低了他们的有效性。尽管CISOs的工作中一直都需要以有限的资源“做更多的事情”，但如今的压力却要求他们重新思考这一点。

“调整你的期望，” Gibson表示，“总有办法。”

伸展每一分钱

在组织层面上，网络安全通常排在优先事项的底层，因为它不直接产生收入。SafeBreach的CISO Avishai Avivi把它比作保险：“你宁愿不为它支付，但当你需要它时，你会感到高兴。”

由于资源有限且威胁不断增多，CISOs常常需要同时管理多个项目。这些项目可能会逐步推进，但如果没有明确的里程碑或可衡量的进展，展示其真正的影响会变得困难。这使得CISOs在寻求额外资金或支持时面临更大挑战，尤其是当利益相关者看不到明确的结果时。

“这几乎使得展示有意义的成功变得不可能，” Phosphorus的CSO John Terrill说，“很多时候，这源自于试图将任务一一解决。”

很多CISO建议学会“用商业语言表达”，偶尔给董事会施加压力以获取更多资金，但这些方法都有限制。“公司资源有限，你需要接受这一点，” Avivi解释道。

在这样的情况下，CISOs需要在优先处理风险时采取战略方式。关键在于识别哪些问题需要紧急关注，哪些可以暂时搁置。

自动化工具也能提供很大帮助，尤其是小型公司无法承担大型专职安全、合规和数据隐私团队的情况下。“组织必须实施并利用自动化GRC解决方案，将风险、合规监测、漏洞监测和入侵检测结合在一起，” Rhymetec的CISO Metin Kortak表示。

平衡优先事项

在优先事项清单很长但资源有限的情况下，创建清晰的风险接受声明可以改变游戏规则。它帮助定义组织愿意接受的风险程度，从而更容易决定将精力和资源集中在哪些地方。

“在风险接受度上对团队和组织领导进行对齐，有助于聚焦您的精力和资金到最需要的地方，” Secureworks的CISO Ken Deitz指出。“如果一个组织对安全风险有明确的风险接受度，那么优先事项就会显而易见。”

CISOs应当坦诚组织未处理的优先事项所面临的风险。“这需要用与商业相关的术语进行表达，” Avivi说，“仅仅告诉CEO和董事会我们必须通过SOC 2 Type II审核，并不能体现其重要性，相比之下，向他们说明，我们客户要求任何新的销售都需具备清洁的SOC 2 Type II认证，就显得更为紧迫。”

Gibson也支持这种方法。“你负责自己的战略，所以你要自己做优先事项的决定。如果董事会想让你改变优先事项，那他们