每位首席信息安全官必须回答的十个网络安全关键问题

随着首席信息安全官（CISO）地位和职责的提升，这一顶级安全职位变得更加充满挑战。如今的CISO除了需要持续评估其安全态势以确定如何调整来充分保护组织，还必须以支持关键业务目标的方式与业务保持一致，并将风险管理的问题和权衡明确摆在聚光灯下。

为了在个人责任已成为现实担忧的时代履行这一日益复杂的职责，CISO必须持续评估的不仅是他们的安全堆栈和态势，还包括团队文化、整体业务的状态和方向，以及他们在确保组织在无数现有和新兴风险中蓬勃发展方面的地位。

在此，思想领袖提出了安全主管在制定持续安全战略和职业发展计划时必须回答的十个最紧迫问题。

**1. 我是业务推动者还是阻碍者？**

全球咨询公司Protiviti的董事总经理兼全球安全和隐私负责人Sameer Ansari表示，安全职能可能被誉为"说不的部门"，因此CISO应该思考他们和团队是否名副其实。

CISO需要问："我被视为推动者还是阻碍者？"他补充说。

Ansari解释，如果CISO发现他们的高管同事回避他们，或只在项目后期才让他们参与，那么他们很可能被视为业务目标的阻碍者而非业务成功的推动者。同样，通过办公室闲聊而非作为规划会议合作伙伴了解倡议的CISO也可能被视为阻碍者。

Ansari指出，发现自己处于这种情况的人可以扭转局面。

"不要只是否决想法。通过咨询的方式帮助他们实现目标，不要带有偏见，"他解释说。"向业务部门说明风险，让业务部门决定愿意承担多少风险。或者，如果超出了组织的风险承受水平，那就说'让我们上报这个问题'。"

**2. 我们如何为公司的风险承受能力实现正确的安全平衡？**

公共会计和咨询公司BPM的CISO Vandy Hamidi表示，要发挥这种咨询作用，CISO还需要询问并回答这个问题。

"我的职责是以使业务能够自信运营同时有效服务客户的方式降低风险。如果我们锁定一切，就会损害业务、让用户沮丧并失去敏捷性。但如果安全不足，就会使公司面临违规、监管风险和声誉损害，"他说。"要取得正确的平衡，我们专注于了解业务如何运营、其优先事项、挑战和人员。这意味着跨职能工作，不仅评估技术暴露，还要评估运营影响。"

为此，Hamidi的团队与业务领导和同事密切合作，在确保客户和组织数据得到充分保护的同时，使安全与业务保持一致。"这不仅仅是技术保障；而是建立信任、用业务术语沟通风险，并使安全成为战略推动者而非阻碍者，"他说。

金融服务信息共享与分析中心（FS-ISAC）的CISO John Denning表示，CISO还可以问自己："安全是否在支持业务的同时保护客户？"

"CISO需要平衡两者，"他说。"例如，我们看到'智能摩擦'的兴起——在用户体验中战略性地设置障碍，旨在增加安全性并减缓支付授权。"

**3. 向董事会展示的正确指标是什么？**

Forrester Research副总裁兼首席分析师Jeff Pollard表示，CISO需要展示他们如何推动业务，这意味着要确定如何以对董事会重要的方式衡量他们的工作。

他说，关于系统修补数量、平均响应时间和平均修复时间的数据并不能让董事会有理由认为安全有助于推动业务向前发展。

Pollard说，CISO需要找到能体现安全在支持业务目标中作用的指标，以及能够实现更好的高管和董事会决策的指标。

**4. 网络安全对组织意味着什么？**

咨询公司S-RM美洲网络安全负责人Paul Caron表示，CISO还需要了解安全职能在组织中的位置，以便确定他们是否有权力采取正确行动。

"很多时候，CISO负责对手头的风险采取行动，但他们真的处于应对这些挑战的位置吗？他们会得到相应的支持和资源吗？他们真的有高管级别的支持成为变革推动者吗？这些都是每个CISO现在特别需要问自己和他人的问题，"他说。

在"CISO实际上要为组织对网络事件准备不足承担责任并可能被追究责任"的时代，Caron说，CISO知道他们是否拥有应伴随这种责任的权力是至关重要的。

"他们应该重新评估组织如何看待风险管理以及在决策桌上被给予多少发言权。这些是他们需要对自己非常透明的关键问题，"他说，并补充说"没有权力的CISO是最糟糕的位置。"

**5. 我是否有效地沟通了技术风险？**

Protiviti的Ansari表示，CISO还应该问自己是否能够用业务理解的术语来表达网络安全风险。

他看到安全主管过于经常用技术术语谈论风险，但向其他高管谈论缺乏云容器安全或配置错误等问题，不会帮助他们理解面临的风险。

"这会让每个人都困惑。即使在今天，当董事会成员更精通网络时，他们仍然会问，'这到底意味着什么？'"Ansari说。

他建议CISO考虑他们是否真的在以业务能理解的方式讲述安全和风险故事；他建议CISO向安全部门内外的可信同事寻求反馈来完成这项任务。

他补充说，这是值得努力的，因为能更好地讲述故事的CISO在传达业务风险方面更有效，这让他们获得更多权力、资源和与业务目标的一致性。

**6. 我的团队是否感到有权力挑战我？**

没有任何个人——即使是CISO——能够始终做出最佳决策，因此安全领导者应该欢迎关于其项目不足之处的信息。

"所以他们必须问自己：我的团队是否感到有权力挑战我的决定？我是否在鼓励不同意见？"Ansari说。

Ansari建议发现团队不觉得能够畅所欲言的CISO通过鼓励讨论、积极回应挑战和寻求意见来改善工作场所文化。简单地问"我需要其他观点"可以在这里有所帮助，Ansari补充说。

**7. 我们的客户希望我们在安全方面做什么？**

Pollard说，CISO通过近年来激增的第三方安全问卷了解客户的安全优先事项。这些问题让CISO洞察客户关心什么以及他们希望CISO的组织从安全角度做什么。

"如果你理解这一点，你就可以为安全建立业务案例，"他说，解释CISO可以使用某些客户寻求的安全控制成本和这些客户产生的收入来计算安全工作的价值。"CISO需要规划这一点：有多少客户向我们提出这个要求，他们的收入价值是多少？"

**8. 组织的所有数据真正存储在哪里？**

科技公司Transcend的驻场CISO、联合健康集团前CISO Aimee Cardwell从亲身经历中知道问这个问题的原因，她说："经验以最痛苦的方式告诉我，数据存在我没有看到的地方。"

例如，她发现敏感数据隐藏在发票文件夹中，以及来自旧影子项目的服务器和数据库中。她还指出，在公司收购和合并后，CISO可能在未知位置拥有数据。"然后你加上AI，你可能在泄露你甚至不知道的数据，"她补充说。

Maryville大学John E. Simon商学院技术副院长兼网络安全助理教授Brian M. Gant表示，CISO需要持续问："组织最有价值的数据在哪里，我们如何保护它？"和"王国的钥匙在哪里？"来帮助他们解决这个问题并确保充分保护敏感数据。

全球咨询公司SSA & Co.应用解决方案负责人Nick Kramer还建议CISO询问他们是否对组织非结构化数据的位置有必要的洞察，以及数据是否得到适当保护。例如，他建议CISO让组织摆脱电子邮件附件，而是发送指向安全位置文档的链接，将文件从工作设备转移到相同的安全位置，并实施加密。

**9. AI将如何影响我的人员配置？**

近年来，CISO培训他们的安全团队支持业务团队安全使用AI。现在，随着AI在安全部门内成为越来越重要的工具，他们需要调整自己的人员配置策略。"他们需要探索，AI对我的人员配置有什么影响？我的组织将如何不同？"Pollard说。

他说CISO必须考虑团队成员将如何与AI代理一起工作，以及他们是否准备好有效地这样做。他们应该考虑安全运营中心的人员配置将如何变化。例如，Pollard说AI可能会减少对入门级工人的需求，但可能意味着需要更多2级分析师。这要求CISO考虑如果更少的人来自1级SOC分析师职位，他们如何招聘和培训这些高级分析师。

**10. 下一个可能让我惊讶的攻击是什么？**

"下一个漏洞或下一个威胁是什么？"SSA的Kramer说，这是一个需要问和回答的关键问题。

当然，CISO长期以来一直担心零日漏洞。他们必须继续这样做。但他们还需要考虑他们不断发展的攻击面和攻击者日益增长的复杂性如何几乎瞬间在他们的安全计划中创造漏洞。

"我最大的恐惧总是我不知道的东西，我会在哪里被惊讶，"Transcend驻场CISO Cardwell说。

为了缓解这种恐惧，Maryville大学的Gant建议CISO问"我的攻击面是什么？"和"谁在追求我，为什么？"并使用答案制定适当的数据和系统保护计划。

根据FS-ISAC的Denning，另一个要问的问题是：我是否拥有适合目的且面向未来的防御技术堆栈？

"强大的新工具正在武装坏行为者实施更有效的欺诈、勒索软件和DDoS攻击等威胁，"他补充说。"CISO需要评估他们是否拥有正确的工具和人才来打击这些威胁并应对新兴威胁。"

例如，Denning说CISO应该盘点他们的加密资产，为量子改变所有计划的那一天做准备。

Kramer说CISO需要做更多工作来超前思考未来。他建议CISO指派员工展望未来，就像CTO通常有人研究新兴技术一样。

"CISO在展望未来，但太经常他们等到其他人解决并告诉他们该做什么，这意味着修复是[由于]一些成功的攻击[而确定的]，"Kramer说。"但现在你必须有实验的观点，真正试图找出接下来会发生什么，也许使用模拟工具来发现新的攻击面。"