隨著越來(lái)越多的公司安排了CISO，在企業(yè)責(zé)任方面CISO似乎越來(lái)越接近其他的高管。不過(guò)有些CISO尚不知道如何與其他高管合作，另外一些CISO則仍然在試圖彌合技術(shù)和業(yè)務(wù)之間的溝通鴻溝。

無(wú)論在哪種情況下，這個(gè)職位還在不斷發(fā)展，CISO面臨著很多挑戰(zhàn)。在2016年RSA大會(huì)的小組討論會(huì)中，Baxter International醫(yī)療設(shè)備網(wǎng)絡(luò)安全技術(shù)主管Pavel Slavin表示，企業(yè)通常會(huì)優(yōu)先處理錯(cuò)誤的事情，而沒(méi)有發(fā)現(xiàn)他們真正面臨的挑戰(zhàn)。

[[167891]]

“我們通常專(zhuān)注于制造安全錯(cuò)覺(jué)的東西——漂亮的報(bào)表、圖表和我們成功阻止的威脅，然而，63%的用戶(hù)已經(jīng)丟失了其私人醫(yī)療信息，并且去年我們有兩個(gè)輸液泵被攻擊，”Slavin表示，“我們可能過(guò)于強(qiáng)調(diào)我們的保護(hù)力度了。”

SANS研究所新興安全趨勢(shì)主管兼該討論小組主持人John Pescatore認(rèn)為，CISO需要發(fā)現(xiàn)其企業(yè)面臨的具體網(wǎng)絡(luò)安全挑戰(zhàn)，并能夠解決這些問(wèn)題。“CISO的挑戰(zhàn)是根據(jù)企業(yè)以企業(yè)所在的垂直行業(yè)、企業(yè)數(shù)據(jù)的價(jià)值以及其他因素平衡安全的重要性，”Pescatore稱(chēng)，“為什么有些公司沒(méi)有遭遇數(shù)據(jù)泄露事故?那是因?yàn)樗麄冇懈哔|(zhì)量的成熟的安全團(tuán)隊(duì)，并且，他們能夠在企業(yè)中引領(lǐng)某些變革。他們還有優(yōu)秀的CISO，以應(yīng)對(duì)企業(yè)、技術(shù)以及人員面臨的真正挑戰(zhàn)。”

那么，CISO面臨的共同挑戰(zhàn)是什么?下面讓我們來(lái)看看這些挑戰(zhàn)：

CISO面臨的真正挑戰(zhàn)

據(jù)安全專(zhuān)家表示，有時(shí)候信息安全團(tuán)隊(duì)沒(méi)有做好的都是簡(jiǎn)單的事情。Herjavec Group首席執(zhí)行官兼創(chuàng)始人Robert Herjavec表示，“密碼重置可能是大多數(shù)公司會(huì)遺漏的最簡(jiǎn)單的事情之一。”

RSA大會(huì)另一個(gè)小組成員是Rich Products公司首席信息安全官Don Smyczynski，他談到了他最關(guān)注的問(wèn)題：

1.知識(shí)產(chǎn)權(quán)遭竊取。Smyczynski稱(chēng)：“人們認(rèn)為數(shù)據(jù)是他們的，他們可以任意處理數(shù)據(jù);我們可以很好地保護(hù)流程，但數(shù)據(jù)仍能夠被復(fù)制。這是真正重要的。”

2.工業(yè)控制系統(tǒng)。“我們?cè)趦鼋Y(jié)方面做了很多，而這些冰柜需要進(jìn)行適當(dāng)管理在白天保持足夠低溫，在晚上不會(huì)太冷，”Smyczynski表示，“我們非常需要了解相關(guān)風(fēng)險(xiǎn)，以及保護(hù)所有IP連接的工業(yè)控制系統(tǒng)，無(wú)論是凍結(jié)還是離心機(jī)，這關(guān)系到生命安全。”

3.物聯(lián)網(wǎng)。“工業(yè)工程師認(rèn)為他們知道一切，在他們操作之前，不想等待IT安全來(lái)給他們指示;他們想要安全而迅速地工作。”

4.第三方供應(yīng)商管理。“我們的生產(chǎn)和制造工廠雇傭了很多人員，他們有權(quán)限訪問(wèn)每個(gè)位置;查看多少人訪問(wèn)系統(tǒng)是一項(xiàng)艱巨的任務(wù)，有些人甚至已經(jīng)離開(kāi)公司，”Smyczynski稱(chēng)，“考慮到供應(yīng)商的網(wǎng)絡(luò)是公司自己網(wǎng)絡(luò)的擴(kuò)展，供應(yīng)商網(wǎng)絡(luò)也應(yīng)該被考慮進(jìn)來(lái)。你的供應(yīng)商的安全做法可能最終成為最大的影響因素。”

CISO面臨的其他挑戰(zhàn)包括合規(guī)性挑戰(zhàn)。對(duì)于添加到企業(yè)網(wǎng)絡(luò)的新設(shè)備或系統(tǒng)，CISO可能需要采取冗長(zhǎng)而復(fù)雜的步驟來(lái)確保企業(yè)的合規(guī)性。vArmour公司首席信息安全官(也是Sears online前任首席信息安全官)Lazarikos表示：“大多數(shù)CISO會(huì)圍繞合規(guī)性來(lái)制定預(yù)算，將項(xiàng)目與投資關(guān)聯(lián)在一起。”

例如，如果設(shè)備或機(jī)器將被放在監(jiān)管網(wǎng)絡(luò)中，那么，對(duì)該設(shè)備的投資應(yīng)該考慮到以下安全成本：

我必須執(zhí)行供應(yīng)商審查

設(shè)備如何進(jìn)行修復(fù)?

誰(shuí)有權(quán)限訪問(wèn)該設(shè)備/系統(tǒng)?

該設(shè)備需要何種類(lèi)型的安全監(jiān)控?

誰(shuí)在監(jiān)控該設(shè)備的安全問(wèn)題，供應(yīng)商還是最終用戶(hù)?

如果設(shè)備被攻擊，誰(shuí)將會(huì)通知最終用戶(hù)以及如何通知?

無(wú)論是合規(guī)性、IoT安全性還是基本的密碼管理，現(xiàn)在的CISO都面臨著很多挑戰(zhàn)。而且，更重要的是，這些挑戰(zhàn)和技術(shù)都在不斷變化，迫使CISO和企業(yè)領(lǐng)導(dǎo)團(tuán)隊(duì)不斷發(fā)展并調(diào)整自己的安全計(jì)劃。

結(jié)論

CISO的責(zé)任是保護(hù)其管轄范圍內(nèi)的東西，但說(shuō)起來(lái)很容易，事情不止如此。對(duì)于不是CISO管轄范圍內(nèi)的問(wèn)題該怎么辦呢?下一部分將會(huì)側(cè)重這些問(wèn)題并探討如何解決這些問(wèn)題。