CISO創造價值的10個實例

Mary K. Pratt Charles

與所有高管一樣，首席信息安全官也面臨著壓力，要展示自己和自己的部門為企業帶來了怎樣的價值。

然而，很多人表示，他們仍然很難做到這一點。

據.uk域名注冊中心Nominet的報告《生活在外圍：理解現代首席信息安全官》，只有52%的首席信息安全官表示，他們覺得自己的高管們是從收入和品牌保護的角度來評價安全部門。

然而，領先的安全專家表示，首席信息安全官通過使業務能夠安全的運營，確實為他們的企業創造了價值。與此同時，一些首席信息安全官正在通過增值活動帶來額外的回報：他們通過各種舉措降低成本，開辟新的戰略商機，甚至增加收入。

麻省理工學院斯隆分校（MIT Sloan，CAMS）網絡安全執行董事Keri Pearlson說：“我們看到首席信息安全官有很多機會給企業創造價值。”

本文介紹首席信息安全官能夠給企業帶來更多回報的10個例子：

使企業數據更有價值

畢馬威（KPMG）全球網絡安全實踐聯席領導人兼首席執行官Tony Buffomante指出，首席信息安全官在整個企業中的知名度很高，有機會在安全服務之外進一步創造更多的價值。

他舉了一個例子，畢馬威與一家大型金融機構的首席信息安全官合作，評估其數據的風險。在進行這項評估時，首席信息安全官發現，收集的數據以及多個地點的數據都沒有得以利用。

作為風險和安全評估的一部分，首席信息安全官和畢馬威首先對數據元素進行評分。然后，他們記錄了不同的日期元素是否對競爭優勢有用，它們是否存在于多個地方，以及是否實際用于多個地方。

首席信息安全官還與IT部門分享了他的見解，IT部門隨后消除了冗余，減少了數據占用空間——此舉既節省了公司資金，又降低了安全風險。與此同時，該公司的市場部使用首席信息安全官對數據的深度分析結果，在工作中更有針對性。

Buffomante解釋說：“正是首席信息安全官從數據中獲得了深度分析結果，使企業能夠思考怎樣使數據更有價值。”

發現政策和程序上的失誤

作為標準安全審查的一部分，首席信息安全官通常會發現他們自己的程序和協議中存在的漏洞，他們可以使用相同的流程來發現相關領域的失誤，從而為其企業帶來更多的價值。

退休的美國空軍準將Gregory J.Touhill是奧巴馬政府期間的第一個聯邦政府首席信息安全官，現在是卡內基梅隆大學海因茨信息系統和公共政策學院的兼職教員，他說：“我們所有人都應該接受讓整個企業變得更好的方法。”

Touhill是在憑經驗說話。他列舉了一個在咨詢過程中發生的特殊事件，當時他的一位安全分析師發現并調查了一些異常活動，這些活動表明新員工的審查和入職存在問題。

Touhill說：“這超出了他們的職責范圍，但他們發出了警報，結果我們改進了入職過程。”

當然，此類問題要想引起其他高管的注意，需要首席信息安全官充分發揮自己的溝通技巧，正如Touhill所指出的那樣，“在企業中你是有責任解決這個問題的。”

發現不必要的開支

首席信息安全官已經在尋找哪些技術是不必要的，以防止帶來安全風險，而資深安全高管Gene Fredriksen認為，安全領導發現不必要的技術開支可以幫助企業控制預算。

Fredriksen是美國國家信用聯盟信息共享與分析組織（NCU-ISAO）執行董事，也是Pure IT信用聯盟服務公司的網絡安全負責人，他說：“現在要運行服務器非常簡單，因為它是基于云的，但是每次有人啟動運行一個帶有應用程序的服務器時，企業就必須支付費用，所以當進行許可審核時，高管們往往會感到震驚。”

為保護知識產權提供技能

OutSecure有限公司總裁Pamela Gupta也是網絡安全女性組織（WiCyS）的一員，她說：“發現沒有得到充分保護的知識產權通常不是首席信息安全官的職責，但他們可以在這方面發揮作用。”

Gupta曾與一位首席信息安全官合作，他的任務是控制好公司的財務和信用卡數據，但在這一過程中，他發現需要提高公司知識產權的安全性。

Gupta說：“我看到，即使是大企業，也沒有采取基于風險的方法來保護知識產權，沒有把企業內的各個點連接起來”，她繼續補充說，首席信息安全官如果能夠運用基于風險的培訓知識來恰當地發現并保護知識產權，這將是一項非常寶貴的服務。

讓安全成為賣點

Keri Pearlson博士說，無論是購買現成產品的日常消費者，還是與供應商談合同的高管，都希望與自己打交道的企業是安全的。他們越來越希望能夠提供安全證明。

Pearlson補充說：“敢于表明自己的企業是安全的，這就能創造收入。”這為首席信息安全官提供了機會。“如果我作為一名首席信息安全官，向你展示我的公司更安全，那么我就從戰略上給你提供了與我開展業務的機會。”

她說，她曾與一家將數字組件整合到產品中的公司合作，該公司的首席信息安全官將他的工作范圍從保護內部系統擴展到了從事安全功能的產品開發。

她補充道：“首席信息安全官是有機會的，他抓住了機會，參與到產品開發中。這不是首席信息安全官的傳統角色，但他們在這方面能產生重大影響，特別是當我們向前發展時，一切都有數字化的因素。”

搭建橋梁

首席信息安全官與首席信息官和首席財務官等同行一樣，是在整個企業中工作，因此有機會在企業層面建立關系。資深的安全領導、專注于IT治理的專業協會ISACA剛卸任的董事會主席Brennan P.Baybeck表示，這讓首席信息安全官成了一名“大使”。

他指出，首席信息安全官的工作涉及幾乎所有的執行和戰略領域——從數據相關問題到法律、隱私和治理，當然還有安全。因此，他們的任務是與很多其他同事合作尋找解決方案。

Baybeck同時也是甲骨文公司客戶服務首席信息安全官，他說：“他們能看到需要改進的地方，在公司內部就能把這些工作做好。”

他建議首席信息安全官利用這些經驗，在各職能部門之間發揮協調作用，并通過打破剩余的孤島，在各部門之間建立溝通網絡，以幫助企業更好地管理風險。

幫助合作伙伴

同樣，Fredriksen認為首席信息安全官有機會與自己企業的業務伙伴合作——通過保證和加強整個供應鏈的安全性，合作一定會有回報。

他說，作為一名首席信息安全官，他為一些供應商和分銷商舉辦安全研討會（這些供應商和分銷商由于企業規模不夠大而無法自己舉辦研討會），并出于類似的原因與他們分享了安全警報和合規更新。

他補充道：“你應該分享最好的做法，因為我們大家在一起會變得更好。”

尋找、促進標準化的機會

IT服務公司Garnet River有限合伙公司的首席信息安全官Michael D.Weisberg曾為一家大型企業的首席信息安全官提供咨詢服務，這家企業實施了不同的系統去處理各個地點的付款。該企業有23個不同的平臺來處理同一個流程——這種情況不僅讓首席信息安全官感覺既復雜成本又高，而且那些為所有這些系統提供支持的技術人員也覺得沒有必要這么復雜。

首席信息安全官認識到這些不同的系統給本企業帶來了負擔，因此創建了一個統一的框架，將所有系統的安全和技術要求進行了標準化。整個企業和首席信息安全官本人都受益于這項標準化工作。

Weisberg說：“維持一個標準化功能性環境需要的員工人數減少了，而且更容易保證環境的高效性。”

制定戰略規劃

隨著首席信息安全官發展成為高管合伙人，就網絡安全問題向高管團隊提供建議，這促使首席信息安全官可參與制定更多的企業戰略規劃。

非營利性煙草控制組織Truth Initiative的首席信息和網絡安全官Derrick A.Butts說：“制定戰略規劃是為了與企業的愿景保持一致，幫助節省資金，并改進全體員工的工作流程。”

Butts已經看到了戰略性工作是怎樣帶來回報的。

他指的是五年前為搬進新樓而做的規劃工作。盡管設施管理似乎不在首席信息安全官的職責范圍內，但他很早就加入了討論，并影響了進入新大樓的網絡基礎設施建設。Butts建議他的同事們在網絡基礎設施中增加一些功能，既能為大量的遠程工作提供支持，又能保證遠程工作的安全性，他說服其他高管，如果出現了暴風雪等導致辦公室關閉的事件，該計劃將確保業務連續性。

當新冠病毒疫情來襲時，Butts參與制定規劃的價值顯現了出來，因為其公司的員工無縫地、迅速地過渡到了遠程工作環境。

Butts補充說：“我們不需要重新評估和引入新的系統來實現遠程工作。我們已經有了。我們能像往常一樣開展工作。”

簡化監管控制措施

隨著立法機構和私人實體頒布越來越多的安全和隱私法規，例如加利福尼亞消費者保護法，企業必須實施自己的控制措施以遵守法規。

但是，由于監管隨著時間的推移不斷變化，很多高管都是一個案例一個案例地去處理——這種方法往往導致復雜、冗余的控制措施和相關流程。

云計算提供商Fastly的首席信息安全官Mike Johnson表示，考慮到安全領導人負有各種監管責任，他們通常能夠找到簡化這些控制措施的方法。

他說：“首席信息安全官通過簡化與安全相關的操作和合規措施，能帶來更多的價值。降低這些職能的成本給企業創造了價值。繁重的人工操作流程具有較高的資金成本和機會成本，而自動化（以及其他改進方法）確實有跨部門的好處。”

本文作者Mary K. Pratt是馬薩諸塞州的一名自由撰稿人。

原文網址

https：//www.csoonline.com/article/3572382/10-value-adds-that-cisos-can-deliver.html