CISO的最新职责：建立信任

Mary K. Pratt 沈建苗

首席信息安全官Omar Khawaja的公司Highmark Health大规模改用远程工作环境时，他只有一项重要任务：让员工们能够从任何地方顺利完成工作。

但为了尽快完成这项任务，Khawaja提议放宽某些控制措施。他这样解释：“我们存在的目的就是成为业务赋能者，因此如果我们阻止业务部门开展要做的工作，那将毫无意义。”

Khawaja的提议看似很激进，不过他表示自己知道其他剩余的安全层可提供所需的保护。不过，他还是希望高管团队的其他成员与自己一样信心十足。

他们确实信心十足。

他说：“我得告诉他们，我们在放宽控制措施，对方的答复是‘如果你进行过分析，觉得这么做是对的，那么我们将全力支持。”

CISO们发现其角色已发生了变化，从专注于战术部署的管理角色转向注重业务战略和风险管理的行政角色。

作为这种变化的一部分，CISO们必须在所有利益相关者（客户、合作伙伴、员工、董事会成员及其他高管）当中树立信心，坚信他们和安全团队在制定网络安全决策时牢记本组织的最大利益。

换句话说，CISO们必须赢得利益相关者的信任。唯有这样，面对不断变化的形势，甚至不同寻常的情况，每个部门开展日常业务时，才坚信安全部门可以始终如一地保护人员、隐私、系统和数据。

Gene Fredriksen是一名资深的安全高管，现在担任全美信用合作社信息共享和分析组织（NCU-ISAO）的执行董事，兼Pure IT信用合作社服务公司的网络安全负责人。他说：“现在发生了天翻地覆的變化。大家的工作方式不一样，觉得很不适应。因此作为一名安全人员，你得建立起这种信任。这是你工作的一部分，也是公司花钱雇你的目的。”

基本要素

CISO培养信任的能力不仅仅囿于深奥的讨论或商学院的演练：专家们表示，对于任何想成功履行角色的CISO来说，培养信任都是一个基本要素，因为这项能力使他或她能够落实为本组织确保安全所需的政策、程序和技术，从而向其他人（包括客户）证明他们与该公司的联系很安全。

IT服务公司Garnet River LLC的首席信息安全官Michael D. Weisberg说：“如果你没有建立信任，那你的动机就会受到质疑。”

他表示，CISO们需要受到信任，那样“他们举手，对可能危及他们竭力所保护的对象的政策、项目或想法提出看法时，会受到重视。”Weisberg表示，只有彼此信任，利益相关者才会停下来听取CISO的建议。

Weisberg补充道，另一方面，不能将CISO视为“一味拒绝的部门”，多年来许多CISO被打上了这样的标签。他们需要提供这种解决方案：让组织、合作伙伴和客户能够执行预期的任务，又不使他们面临不可接受的风险。

麻省理工学院斯隆商学院（CAMS）的网络安全执行总监Keri Pearlson博士补充道：“大家信任帮助自己解决问题，并乐于提供帮助的同事和同仁。”

赢得信任

Monica Rowe是密苏里州堪萨斯城Mazuma信用合作社的首席信息安全官，也是网络安全女性组织（WiCyS）的成员。她在目前担任的岗位、乃至整个职业生涯中都采用了这种方法。

她表示，自己不仅向公司的其他高管宣讲安全问题， 还竭力在其组织的所有层级建立良好的关系。她解释说：“你应该把窗帘拉开一点，透露一定程度的详细信息。”这种做法可帮助高管团队从业务风险方面了解安全需求。

因而，她表示其同事明白“我们在为共同利益而努力”，这反过来意味着他们相信她为整个组织做出最合理的选择，而不只是为安全职能部门做出最合理的选择。

Rowe已看到了赢得这种信任后收到的成效。她提到自己在2019年因而获得高管团队的支持，以加强该信用合作社的某些安全方面，包括VPN功能。

她说：“首席执行官批准了资金，由于他对我深信不疑，所以没有质疑我在这方面的要求。”

高管团队相信她认为需要改进安全的观点，于是这家信用合作社迅速加强了远程工作能力，以应对新冠疫情，升级后的VPN证明有能力应对更大的负载。

她补充道：“信任让你能够左右那些影响整个公司的决策。”

信任的价值

当前的情形也强调了CISO们需要在员工、合作伙伴和消费者当中建立起信任，因为他们都已经历了新冠疫情带来的种种转变，与此同时他们看到有关重大网络安全攻击的更多报告，比如去年7月众多知名的Twitter账户被黑。

这点完全可以肯定：普通人都在密切关注。毕马威的2020年报告《企业数据责任方面的新要求》调查了1000名美国人，结果发现87%的人认为数据隐私是一项人权，91%的人表示企业应带头肩负起企业数据责任。

贝恩公司的合伙人Steve Berez设立了该公司的企业技术业务，他说：“人们越来越认识到与他们有业务往来的公司，甚至与他们没有直接业务往来的公司拥有大量的数据。除了由此带来的好处外，越来越多的人还意识到由此带来的风险。因此大体说来，CISO的工作主要与信任有关，建立信任，好让别人相信提供给该公司的数据是安全的。这可能是当下CISO最重要的角色。”

首席执行官们已心领神会，因为现在大多数首席执行官认为，要在数字化时代取得成功，与利益相关者建立和维持信任至关重要。普华永道在其第21届全球首席执行官调查中发现，全球87%的首席执行官致力于加强网络安全，以赢得客户的信任。

普华永道咨询业务负责人Sean Joyce说：“随着经济数字化，我们现在意识到信任到底多重要。”他是普华永道的美国和全球网络安全与隐私业务负责人。

从卖点到社会使命

Joyce认为，除了展示给员工、业务合作伙伴和内部的负责人外，企业组织保持安全和隐私的能力还是展示给客户的一个卖点。

他提到了其所在的在线银行，这家银行部署的一项安全功能最近阻止了他当时进行的一次不寻常的采购（冲浪板练习），在询问他是否要银行授权这笔支出的同时，给他发来了短信。这种功能使这家在线银行与众不同。

他补充道：“这就是CISO所做的事情，他们利用安全功能让自家品牌脱颖而出。”

实际上，普华永道的《2020年数字化信任洞察脉动调查结果》将信任列为CISO须向其企业组织提供的关键要素之一，建議CISO们“另辟蹊径，以改善安全、弹性和信任，同时通过有效地监管网络安全预算来帮助遏制成本。”

CISO们可能没有太多的选择，只能这么做，因为社会日益要求这种“数字化信任”，达拉斯的律师Benjamin Wright如是说。他专注于技术法，在美国私人营利性公司SANS Institute担任高级讲师。

他说：“社会正在通过法律并执行规定，表明‘这是我们要求你满足的复杂要求，如果你未满足这些要求，未为该数据确保安全，将受到惩罚。”

已于2020年初生效的《加利福尼亚州消费者隐私法》就是个典型案例，但不是唯一的法规。包括缅因州和内华达州在内的其他州也已颁布了数据隐私法，而其他州出台了立法。那些法规效仿欧盟早在2018年生效的《数据保护通用条例》（GDPR）。

CISO的新使命

然而，培养数字化信任对于许多人而言并非易事。

毕马威的《企业数据责任方面的新要求》调查发现，68%的受访消费者不相信企业会以合乎道德的方式出售个人数据，54%不相信企业会以合乎道德的方式使用个人数据，53%的人不相信企业会以合乎道德的方式收集个人数据，50%的人不相信企业会保护个人数据。

戴尔技术公司联合英特尔和独立调研机构Vanson Bourne，对来自40多个国家的4600名业务负责人开展了一项调查：《2018年数字化转型指数》，结果发现，49%的人“担心本组织在5年后不值得信赖。”

Brian Haugli是咨询公司SideChannel Security的合伙人兼联合创始人，之前担任过首席信息安全官。他表示，专家们声称，那些忧心忡忡的组织继续将安全视为阻碍速度和发展的因素，原因在于他们不相信安全职能部门与本组织的业务发展相一致。

因而，他们的CISO常常无缘早期阶段的战略性讨论，仅在后期阶段才参与到计划或项目中，这时候整合安全比较困难。

Haugli表示，与此同时，同样这些CISO可能没准备好接过建立信任这项重任。他们可能尚未将自己视为业务赋能者、关键的顾问和战略合作伙伴，而是仍将其角色视为技术监督和实施一项被动应对的安全计划。

然而专家们强调，领先的CISO们早已积极奉行建立信任是可交付成果这一理念，而且确实将信任视作整个安全职能部门的中心主题。

这就是Highmark Health的首席信息安全官Khawaja采取的方法。他认为信任高度体现了他和其安全团队所做的工作，2019年初他们重写安全计划的使命声明，以便与公司的战略愿景更保持一致时，实际上宣布了信任的重要性。

旧的使命声明提到了安全的3个业务目标：确保合规、隐私和效率。新的愿景声明写道：“我们的愿景是打造人们明确相信自己的信息是安全的环境。”

本文作者Mary K. Pratt是常驻马萨诸塞州的自由撰稿人。

原文网址

https：//www.csoonline.com/article/3444940/the-ciso-s-newest-responsibility-building-trust.html