最近,英国公司Nominet发布了企业信息安全主管调查报告——墙内生活,解读当代CISO》,报告显示,只有52%CISO企业高管认为,网络安全对企业的品牌和收入有重要贡献。但也有相当多的高管认为,CISO确保业务安全运行本身就是为企业创造价值CISO通过增值活动提供额外的安全投资回报过各种计划降低成本,开辟新的战略机遇,甚至直接增加企业收入。
就像麻省理工学院斯隆商学院一样(CAMS)网络安全执行总监Keri Pearlson指出:“在这个新时代,我们已经看到了CISO给组织带来很多有价值的机会。”
以下是各行各业专家的意见,重点是CISO领先的网络安全业务能给企业数字竞争力带来十大价值:
一是提高整体企业数据的可管理性和效率
毕马威(KPMG)全球网络安全实践联席负责人兼负责人Tony Buffomante表示,由于CISO它在整个组织中是可见的,所以他们有机会将增值服务带到安全服务之外。他举了一个案例,毕马威(KPMG)与大型金融机构合作CISO合作评估其数据风险。评估时,CISO发现很多收集到的数据和位于多个位置的数据资产未被使用。
作为风险和安全评估的一部分,CISO毕马威会计师事务所首先对数据元素进行了评分。然后,他们记录了新旧数据是否对竞争优势有用,数据是否存储在多个地方,数据是否在多个地方使用。
CISO还与IT该部门分享了他的观点,消除了冗余,减少了数据占用,这不仅帮助公司节省了大量现金,而且降低了安全风险。与此同时,该公司的营销部门也被使用CISO开展更准确、更有针对性的数据营销工作。
Buffomante解释说:“正是CISO将洞察力带入数据,帮助企业业务部门思考使数据更有价值的方法。”
二、“业务漏洞猎手”:发现企业政策和流程缺陷
在安全审计中,CISO系统和协议中通常会发现漏洞。事实上,他们也可以帮助企业在业务流程和政策上找到漏洞,从而给组织带来更多的价值。
奥巴马政府期间的第一个联邦政府CISO,卡内基梅隆大学亨氏信息系统与公共政策学院兼职教授,退休的美国空军将格雷格里·图希尔说:“这是我们的一切CISO和企业高管都应该认同的好主意:CISO能使整个企业变得更好。”
在咨询案例中,Touhill一名安全分析师捕获并调查了异常活动,最终归因于新员工的审查和入职。
Touhill说:“人力资源不在CISO但他们在车道上发出了警报,最终企业改进了入职流程。”
当然,要引起其他主管的注意,需要CISO就像使用最好的外交技巧一样Touhill所指出的,“你应该让组织站出来解决这个问题。”
三、发现冗余支出
CISO擅长搜索和消除企业过剩的冗余技术资产,以防止这些资产带来的安全风险,但高级安全主管Gene Fredriksen安全领导可以识别不必要的技术支出,从而帮助组织控制预算。
“如今,基于云的服务器非常容易使用,但每次有人启动云服务器,企业都需要支付费用。因此,如果进行许可证审查,高管们往往会被各种冗余费用吓坏。”国家信用联盟信息共享分析组织(NCU-ISAO)执行董事,Pure IT吉恩信用联盟服务网络安全负责人·弗雷德里克森(Gene Fredriksen)说道。
四、为知识产权保护提供技能
OutSecure Inc.总裁兼网络安全妇女组织(WiCyS)成员帕梅拉·古普塔(Pamela Gupta)知识产权的识别没有得到充分保护“通常不是CISO的职责,但CISO在这以在这个领域发挥作用。”
Gupta与一个CISO一起工作,该CISO其任务是控制公司的财务和信用卡数据,但在此过程中,他认为有必要提高知识产权的安全性。
Gupta表示:“我发现,即使是大型组织也没有采取基于风险的方法来保护知识产权,并覆盖和连接整个组织的各个角落。”他补充说,知识产权可以通过基于风险的安全意识别和保护知识产权。CISO为企业提供高价值服务。
五、安全是产品,安全是卖点
安全如何创造价值?事实上,安全本身就是价值。Keri Pearlson医生指出,无论消费者是从电子商务平台购买智能家电,还是企业高管与供应商讨论合同,每个人都希望与安全可靠的企业合作。此外,消费者和企业都越来越关注产品和企业的安全能力。
Pearlson补充说:“企业可以以高安全性自居,可以创造收入。”这为CISO提供机会。“如果CISO如果你能向你证明你的公司或产品更安全,那么它本身就能带来战略机会来开展业务。”
Pearlson她曾在一家组装数字组件的产品公司工作过。CISO将其工作范围从保护内部系统扩展到产品安全功能开发。
她补充说:“CISO抓住机会参与产品开发。”“对于CISO这不是传统的角色,但是CISO事实上,它可以在这里产生重大影响,特别是在企业数字化转型的过程中,一切都有数字成分,也带来数字风险。”
六、搭桥
像CIO和CFO同行一样,CISO工作覆盖整个企业,因此有机会在企业中建立关系。高级安全主管,ISACA(专业致力于IT前董事长Brennan P.Baybeck说,这使CISO他指出,CISO工作几乎涉及到整个执行和战略领域——从与数据相关的问题到法律、隐私、治理和安全。他们的任务是与许多其他合作伙伴一起寻找解决方案。
“CISO可以看到需要改进的地方,协调公司内部的资源”Baybeck说,他也是Oracle公司客户服务CISO。
他建议首席信息安全官利用这一经验在各职能部门中发挥调解人的作用,通过打破岛屿,在部门之间建立网络,帮助企业更好地管理风险。
七、帮助合作伙伴
弗雷德里克森(Fredriksen)面对日益严重的供应链安全问题,CISO与企业的业务合作伙伴有很多合作机会。
他说,作为首席信息安全官,他自己为供应商和经销商举办了安全研讨会,并与他们分享了安全警报和合规更新。
他补充说:“CISO们需要分享最佳实践,因为他们在一起会让彼此变得更好。”
八、寻找推进标准化的机会
IT服务公司Garnet River LLC的CISO Michael D.Weisberg正在为大型企业服务CISO该公司已经实施了不同的系统来处理来自不同地点的付款。该组织有23个不同的平台来处理相同的过程,这不仅仅是CISO它带来了昂贵的复杂性,技术人员带来了昂贵的复杂性和不必要的复杂性。
认识到这些不同系统给组织带来的负担,CISO开发了标准化所有系统安全和技术要求的统一框架。整个组织和CISO我从标准化工作中受益。
Weisberg说:“维护标准化的功能环境需要更少的人员和更高的效率,企业可以从中长期受益。”
九、帮助企业高级管理层制定战略计划
随着CISO逐步晋升为执行合作伙伴,通过CxO高管同行就网络安全问题提供咨询,CISO有能力促进制定更多的企业战略计划。
非营利性烟草控制组织Truth Initiative网络安全官的首席信息和首席信息Derrick A.Butts说:“这与组织愿景一致,有助于节约资金,改善全体员工的工作流程。”
巴茨看到了CISO如何给参与的战略工作带来红利。
以五年前公司搬迁为例,虽然设施管理似乎不像CISO他擅长快参与了讨论,最终影响了新办公设施的网络基础设施。Butts他建议他的同事在网络基础设施中添加功能,以支持大量的远程工作,并为远程工作提供安全。他还说服其他高管说,该计划可以确保在紧急情况下关闭整个办公室(但不影响办公室)。
当COVID-19大流行时,Butts由于他所在公司的员工几乎无缝、快速地过渡到远程工作环境,参与该计划的价值变得明显。
“我们不需要重新评估和引入新系统来支持远程办公。我们已经准备好了,所以业务根本不受疫情影响。”Butts补充道。
十、简化法规控制
随着越来越多的安全和隐私法规(如加州消费者保护法案)的颁布,企业必须实施自己的控制措施来遵守法律法规。
但由于法律法规的不断增加,如果叠床架屋,“见招拆招”,控制和相关过程通常会导致复杂和冗余。
云计算提供商Fastly的CISO迈克·约翰逊(Mike Johnson)由于安全领导人参与了各种监管义务,他们经常能找到简化这些控制措施的方法。
他说:“CISO可以通过简化与安全相关的操作和合规性来给企业带来增值。”降低合规成本可以为企业创造巨大的价值。你知道,繁重的手动过程意味着高现金和机会成本,自动化(和其他改进方法)确实可以为整个企业带来好处。”
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更多的好文章