作为企业CISO 你合格吗？（下）
日期：作者：翻译：来源：TechTarget中国
【TechTarget中国原创】 接上 你在跨职能方面的经验是什么？你花多少时间与业务部门探讨安全问题或者让你的团队嵌入其他团队？成功的安全部门有时候是顾问和教育工作者，其他时候则是守护者。 我的大部分工作都是全球性的，IT也很分布化。在每种情况下，我都有员工在国外为我工作，有时候他们也报告给区域业务部门。 我们花了很多时间来教育关键利益相关者，以及提高整体员工的意识。我曾告诉IT部门的1000个人，我认为他们是团队的一部分。我的团队需要理解和支持其他人，这对于其他人也同样重要，包括员工和顾问，他们应该了解保护企业信息的重要性。 你知道，当员工知道你是谁时，信息安全项目才可以进展，他们在遇到问题时会打电话给你。这又回到了“无指责的游戏”。作为一名CISO，我宁愿早些知道潜在问题的存在，这样我可以及时解决问题。我告诉人们，‘总有一些小火在燃烧，只是不要让它们烧毁建筑物了。’ 你花了多久才进入角色？我总是觉得，随着企业规模的扩大，我们需要花更久的时间来了解正在发生什么——我是个控制狂！你在使用任何特定的方法吗？对于你来说，这是一个程序，还是总是有不同？ 在我最开始的前90天工作中，我的一位经理给了我一个礼物：他给了我一本书，教我如何开始我的工作。这本书建议（经理）提出三个问题：什么正在运行？什么需要改进？以及哪里我没有出错？我惊喜地发现这非常管用，这让我能够快速发现信息安全程序成功的区域，以及需要对人员、流程和技术进行调整的区域。 我告诉我的团队，‘完美是成功的大敌’。在我的办公室有一个牌子，上面写着，因为我不知道发生了什么事情，于是我笑了。当你不知道所有答案的时候能够笑，并承认你不知道，这对职业寿命和个人寿命都很重要。顺便说一句，我不知道你是控制狂！ 对于‘控制狂’，我的意思是，我必须很清楚事情的发展，否则我会很不舒服。这是很困难的事情，因为我认为这潜在地限制了我能有效工作的范围。当我看着你从事过的职位，让我感到昏乱。从你的职位，你怎么知道在不同层面发生的事情？我的态度是‘信任，但要核查’，并且，在核查部分，我总是缺乏足够的带宽，你如何平衡这一点？ 这又回到了管理风险的话题。我并不会使用安全这个词，除非我在谈论我160磅的狗。这也是为什么你需要有一个非常社会化且获得高层支持的战略的原因。我们需要付出很多来获得成功。我也认为，对于扩展信息安全，你需要人员、流程和技术。我很担心过于人工且需要有人花数小时查看细微内容的整治计划。并不是反复说到这一点，但这方面确实会出问题。对于信息安全，我们面对不同水平的问题，你需要专注于对企业很重要的事情。 是否有想要重新来过或第二次机会？ 前车之鉴很美好，这个问题的答案是肯定的。首先，我会在我的职业生涯的更早期聘请更多的高校毕业生、退伍人员和实习生，因为他们会给团队带来新视角和信誉。我可以告诉你，从事社交媒体项目的20多岁的年轻人更愿意听到我20多岁员工的信息安全言论，而不是从我这里。其次，我会更多地向系统管理员和员工（出于他们报告可疑活动的工作），还有我的团队、顾问和同行说声“谢谢”。我会利用所有公司提供的机制来认识人员，但这确实需要付出很多，而且你需要庆祝成功，你还需要有指标来展示成功。 最后想说些什么？ 作为CISO，重要的是要非常清楚信息安全的发展状况。昨日应有的注意可能恰恰就是明日的疏忽。 我建议信息安全从业人员看看T.J. Hooper案件的裁决，该案件涉及在20世纪30年代，被拖船拖走的两艘驳船在风暴中沉没。驳船所有者起诉这个过失问题，并指出拖船没有正常的天气传送无线电。拖船所有者反驳说，天气传送无线电并不是行业标准。 法官Learned Hand在60 F.2d737（1932年第二巡回法院）裁决，该拖船所有者应承担责任：法院最后必须说公道话；预防措施非常有必要，即使是他们的普遍漠视也不能成为疏忽的借口。 换句话说，如果有一个做法是合理的，但不是普遍的‘习惯’做法，这仍然应该作为标准的量度。只做最少的必要的事情或仅仅遵循法规是不够的。云计算、物联网和移动正在改变一切，我们需要作为一个社区，与我们的供应商（包括新型技术公司）一起开发使我们能够支持企业向前发展的产品和解决方案。
我们一直都在努力坚持原创.......请不要一声不吭，就悄悄拿走。
我原创，你原创，我们的内容世界才会更加精彩！
【所有原创内容版权均属TechTarget，欢迎大家转发分享。但未经授权，严禁任何媒体（平面媒体、网络媒体、自媒体等）以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
TechTarget中国
查看更多评论
敬请读者发表评论，本站保留删除与本文无关和不雅评论的权力。
CISO职业建议
现如今，越来越多的组织机构开始推广机器学习和人工智能技术，对于CISO们来说，需要在炒作风潮中保持清醒。
近几年，很多主要数据泄露事故最终会面临集体诉讼，而几乎在所有情况下，这些诉讼最终结果是企业与原告达成庭外和解。作为首席信息安全官，你是否认为庭外和解是最好的办法？
有时候安全团队似乎过分依赖于“一劳永逸”的安全机制，而没有足够的安全专业人员提供人性化的分析和判断。在这方面，安全自动化的风险是什么？企业如何利用安全自动化的优势，而确保自己受到保护？
网络威胁形势只会变得更为严峻，为了在资源有限的情况下最大程度的保护企业安全，部署能够防御未知威胁的产品是摆在企业面前一个重要的课题。
本文将帮助理解间谍软件、它的来源、行为方式和引起的问题，并提供一些清除间谍软件的技术，以及如何防御将来的入侵。
随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。
SQL注入是一种安全漏洞。它是对数据库驱动的应用程序攻击的一个特定类型。在这种攻击中，攻击者操纵网站基于Web的界面，迫使数据库执行不良SQL代码。攻击者可以利用这个安全漏洞向网络表格输入框中添加SQL代码以获得访问权。而今天的SQL注入攻击者查找漏洞的技术更加先进。他们使用各种工具加快开发进程。
　　BitLocker是微软Vista企业版和旗舰版（Vista Enterprise and Ultimate）中的一个功能，可以加密系统磁盘。这一点在Windows之前的版本中，如果没有第三方产品是不可能实现的。为了使用BitLocker，需要有可信平台模块（Trusted Platform Module，TPM）硬件的系统，1.2版本或者更好的。现在有些PC厂商已经开始支持了，虽然需要额外付费。　　但是如果想要在没有TPM的系统上使用BitLocker应该怎么办呢？　　本技术指南将介绍如何启动BitLocker，并在没有TPM的电脑上运行的方法，以及没有它的时候需要什么，应该怎么做以及可以获得的结果等。
TechTarget
企业级IT网站群
TechTarget中国 版权所有
All Rights Reserved, Copyright
TechTarget中国 版权所有
All Rights Reserved, Copyright您的位置：
作为企业CISO 你合格吗？（上）
日 20:50:40　|　作者：MARCUS RANUM　|　来源：TechTarget中国
摘要：在过去15年里，Renee Guttmann一直在财富500强企业领导安全和风险管理项目。在本期人物专访中，她将就CISO的角色给出些许看法和职业建议。
在过去15年里，Renee Guttmann一直在财富500强企业领导项目。Guttmann曾担任Gartner高级研究分析师，她现在仍然是全球信息安全社区的活跃成员，在本文中，她与安全及隐私领域的同行们和供应商们分享了她来之不易的建议和技术指导。
在她非凡的职业生涯中，Guttmann曾分别担任可口可乐公司、时代公司和时代华纳公司(合并后)以及Capital One公司的首席安全架构师、()和副总裁。目前，她是信息安全服务公司Accuvant公司CISO办公室副总裁。CISO的生活到底是怎样的?为此Marcus Ranum采访了Guttmann，询问她应对全球信息安全和隐私项目永无止境的挑战所需要的领导力和核心技能。
MARCUS RANUM：对于信息安全从业人员，CISO位于金字塔的顶端。我们的观念和现实相符吗?我听到了很多人谈论CISO的工作就是‘向董事会呈现数据指标’之类的事情。但你的工作真的是这样吗?你怎么安排你的时间?
RENEE GUTTMANN：对于大多数大型企业，信息安全问题已经上升到应引起董事会关注的层面。这是一个瞬息万变的环境，我们面对着各种恶意动机的群体，从有组织的犯罪、寻求竞争优势的民族国家和公司，到攻击品牌的网络积极分子。
向董事会报告数据指标是非常有必要的，这样可以量化和简化企业及其业主所面临的的风险情况。
但我真正的时间都花在创建、‘沟通’和部署战略，来积极管理企业面临的潜在风险。在你制定好战略并获得主要利益相关者的支持后，如果部署进展顺利的话，向董事会和其他人提供有意义的数据指标成了相对简单的任务。我想说，在信息安全领域工作这么多年，担任几家大公司的首位CISO给我带来令人难以置信的回报。
安全从业人员如何为CISO职位做好准备?你认为成功的CISO需要的核心技能是什么?你如何获取这些技能?
并没有万能的技能。我认识从未在信息安全领域工作过的CISO，并且他们都是优秀的企业领袖。我从事过信息安全领域各个层次的工作，我认为现在最重要的技能是能够将信息安全和风险管理转化为让其他人理解的信息。
安全从业人员需要积极参与更广泛的信息安全社区―分享想法和经验教训。Larry Boosidy将这称为“厚着脸皮地偷”，毕竟利用其他地方的好想法并没有坏处。
当你刚开始你的职业生涯时，与其他杰出的CISO共处一室会很恐怖，但作为一个有抱负的CISO，这可能是你可以做的最重要的事情之一，要知道，与成功的同行在一起绝对没有坏处。
你必须愿意接受新想法、愿意改变以及成为一个变革者。在达尔文的《物种起源》中，我最喜欢的理论之一是：生存下来的不是那些最强壮或最聪明的，而是那些适应力最好的。如果你不适应变化，可能很难成为CISO。
如果企业沦为攻击目标，CISO发挥怎样的作用?如果发生数据泄露事故，你是否需要承担责任?
我们都知道，每当出现网络放缓的情况时，肯定有一个错误配置的安全设备。好啦，我是在开玩笑。我并不喜欢指责的游戏，但我认为，当问题出现在其工作职责内时，CISO需要承担责任。
另一方面是确保在问题发生之前发现风险(+本站微信networkworldweixin)，CISO需要负责确保企业清楚这个潜在风险，并妥善处理它―即使这意味着失去一些支持。当然，我们有不同的方法来管理风险，包括接受风险。利益相关者需要参与进来，并且，我觉得目标应该不是局限于个人关注的内容。
我有时听到信息安全从业人员谈论说，通过让业务部门对某些工作签字确认来管理风险―如果发生泄漏事故者可以转移责任或保护他们免受谴责。但我觉得这不实际，我也从没有尝试过。你觉得呢?
而且这并没有那么容易。即使一个业务部门领导签字，如果出现重大后果，他们可能会说他们并没有真正理解这个问题。这就是说，信息安全的工作是管理风险，而CISO必须要更加实际。我建议清楚明确各自的职责。
例如：‘我们不会允许网站包含让攻击者可以很容易地从数据库窃取个人数据的漏洞。’同样重要的是，让高层领导支持这些‘职责分配’。并且，最终，人们知道他们不能推出不安全的网站。
还有一个好办法是建立一个跨职能管理团队(包括从业人员和高层领导)来帮助评估和接受信息安全风险。你不希望将每次例外都标记为异常，所以CISO需要帮助这个管理团队来确定政策的合理例外情况。例如，企业可能允许网站存在低风险问题，并计划在90天内解决这些问题。你和你的团队必须实事求是，毕竟没有绝对安全的事情。
请继续阅读《作为企业CISO 你合格吗?(下)》
参考资料1.：（Chief Information Officer），首席信息官，亦可称之为信息主管、信息总监等，是企业中信息化建设“统筹”人，是企业中不可或缺的高级主管职位之一，主要负责企业内部信息...
[责任编辑：网络安全 ]
正在加载...
我也说几句
汇编一周来国内外网络和IT行业发生的焦点新闻，精挑细选，第一时间推送独家采写的深度报道和热点专题，深入挖掘新闻事件背后的故事，剖析新闻事件的来龙去脉，让读者准确把握业界的发展态势。
汇集存储频道每周精华内容，让您在最短的时间内，以最便捷的方式获取权威的购买指南，专家博客，皆汇聚在此。
定期为您带来深入权威的网络，交换机，路由器，无线，通信领域信息服务，涵盖产品，技术，新闻，应用案例，评测,购买指南，专栏，技巧等多个方面的信息。与企业网络相关的一切，尽在网络通信邮件，您怎可错过？
新一代数据中心建设管理最新信息快递――聚焦新一代绿色数据中心的设计、建设、运营和管理，汇集业界专家与用户的最精粹观点，展示国内外数据中心经典案例！
定期为您带来安全领域权威专业的产品，技术，新闻，应用案例，评测，购买指南等信息，保护您在网络畅游之时不受病毒的威胁，企业运行之际减少安全的风险。一份邮件在手，一份安全在心！
深入、专业关注云计算相关的技术与实践，范围覆盖私有云建设、公有云服务运营、开源云平台发展、重要云服务商动态等领域，面向企业CIO和IT经理提供深度原创报道，以及云计算、云服务领域最新的市场资讯。
汇集软件频道每周精华内容，让您在最短的时间内，以最便捷的方式获取权威的企业软件新闻，SOA，SaaS，BI，ERP，开源技术，产品，技巧等全方面的实用资讯。还犹豫什么，这就开始体验一下吧！
深入、专业关注大数据相关的技术与实践，提供Hadoop、NoSQL等领域的最新技术资讯，定期发布由业界专家撰写的大数据专栏文章，面向企业CIO、IT经理、DBA提供深度原创报道，以及大数据领域的最新市场资讯。
汇集服务器频道每周精华内容，让您在最短的时间内，以最便捷的方式获取权威的服务器虚拟化，刀片服务器，操作系统，大型机，服务器芯片信息，最新最全的服务器技巧，购买指南，专家博客，皆汇聚在此。
网界网网络学院频道，内容涵盖移动互联，技术开发，Web前端，安全，网络通信，云计算，数据中心，存储，服务器，软件等内容。
订阅过的用户，全部取消选择，可取消订阅
网络世界移动客户端网界网微信订阅号WOT2016李涛：如何成为一个合格的CISO
(window.slotbydup=window.slotbydup || []).push({
id: '2611110',
container: s,
size: '240,200',
display: 'inlay-fix'
您当前位置： &
[ 所属分类
| 时间 2016 |
作者 红领巾 ]
安全一直都是企业建设的重要环节，随着企业安全受重视的程度越来越高，安全的幕后推手CISO也越来越为人所熟知，那么CISO具体工作究竟是什么，具备哪些素质才能成为CISO，CISO又是如何来保证企业安全的呢?关于以上问题，【WOT2016企业安全技术峰会】特邀讲师、联想集团IT安全总监李涛老师将为我们细细讲解。
【嘉宾简介】
李涛，联想集团IT安全总监，主要负责全球信息安全。曾供职于IBM, Cisco, PwC 以及多家海外金融机构，有着丰富的IT从业经验。
什么是CISO?
CISO翻译成中文就是首席信息安全官，全权负责机构内信息安全工作。包括对信息安全风险进行评估，制定安全政策和标准，落实控制手段，监督合规和政策执行，有效降低安全风险。李涛老师显然对CISO这个词有着更深层次的理解。李涛老师表示CISO不只是一个职业，更是一场关乎企业生存的挑战。企业的安全防线被攻破是不可避免的，CISO就像生活在刀尖上的，始终都要保持最佳状态以迎接随时出现的挑战。
CISO应该具备的素质
CISO是一个集技术与管理于一身的综合性职位。编程、网络、软件工程、、OS安全等等都是CISO必备的技术修养。除此之外作为一个管理者，CISO还必须善于倾听和学习，知人善任，能够在下属中建立威望和凭借良好的沟通解决业务困难。
CISO的日常
“安全这件事是一个日积月累的工作，不是某一天的一个亮点，安全要在每一天的具体工作中稳步推进”。在问及CISO日常工作的时候，李涛老师是这样回答的。相比较企业内的其他工作，CISO每天要做的事情相对复杂的多，而且比较琐碎。什么事情需要排在第一位，什么事情需要在第一时间处理，什么事情需要第一时间响应，都是CISO必须要考虑的问题。除此之外新技术、政策法规、威胁趋势变化，业务需求和安全平衡等也都是他们需要考虑的事情。
CISO的脑图
如何做好CISO
安全圈里流传着这样一句话：没有安全事故的时候安全工作就显示不出价值。众所周知，安全是不够直接产出经济效益的，所以安全部门在一定程度上会被忽视，那么作为安全部门领导的CISO应该如何做才能让企业高层重视安全建设呢?李涛老师给出的答案很简单： 有效沟通!
有效沟通小妙招：
放弃缩写。不要再在报告中写什么ATP，DDoS了，并不是所有人都能看得懂你简明扼要的缩写，所以有效沟通的第一步就是抛弃这些专有名词的缩写，把它们用简单的话描述出来，这样比较容易被别人接受。
有图有真相。相较于文字来说，图片的表达能力似乎更强一些，更容易被理解。密密麻麻的文字总是让人没有读下去的欲望，尤其是一些技术类的，如果能用一些图片来代替是再好不过的了。
简单类比。有一些安全技术对于非安全人士来说理解是可能会有一些困难，但是如果把这些技术用类比的方式讲述，就可以把彼此之间的沟通距离拉的更近。
数字说话。数字是最直观的表现形式，公司的高层关注重点是业务如何快速增长，每天的现金流和利润，而数字无疑是说明这些的最好方式，一旦安全问题会影响这些数字的变化，那么跟高层解释起来就会比较容易被接受了。
CISO还要善于利用成熟易懂的安全框架去向管理层清晰阐述安全工作态势，获取支持，持续推动安全工作的改进。
采访到最后，张涛老师说道：“未来的企业安全会越来越好。现在在安全圈里有很多专注解决某些安全业务痛点的初创企业，这是一个很好地趋势，这说明越来越多的人在关注企业安全这件事，相比于几年前实在是进步了很多。我希望以后IT圈能有更多的活动来增强安全意识，让安全意识驻扎在每一个人的心中。”
【责任编辑：何妍 TEL：（010）】
本文网络安全相关术语:网络安全工程师 网络信息安全 网络安全技术 网络安全知识
转载请注明本文标题：本站链接：
分享请点击：
1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责；
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性，不作出任何保证或承若；
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
CodeSecTeam微信公众号
船到江心难补漏,马到悬崖难回头!是非皆因开口多,祸事皆因强出头!万花丛中过,片叶不沾身
手机客户端