CISO创造价值的10个实例

Mary K. Pratt Charles

与所有高管一样，首席信息安全官也面临着压力，要展示自己和自己的部门为企业带来了怎样的价值。

然而，很多人表示，他们仍然很难做到这一点。

据.uk域名注册中心Nominet的报告《生活在外围：理解现代首席信息安全官》，只有52%的首席信息安全官表示，他们觉得自己的高管们是从收入和品牌保护的角度来评价安全部门。

然而，领先的安全专家表示，首席信息安全官通过使业务能够安全的运营，确实为他们的企业创造了价值。与此同时，一些首席信息安全官正在通过增值活动带来额外的回报：他们通过各种举措降低成本，开辟新的战略商机，甚至增加收入。

麻省理工学院斯隆分校（MIT Sloan，CAMS）网络安全执行董事Keri Pearlson说：“我们看到首席信息安全官有很多机会给企业创造价值。”

本文介绍首席信息安全官能够给企业带来更多回报的10个例子：

使企业数据更有价值

毕马威（KPMG）全球网络安全实践联席领导人兼首席执行官Tony Buffomante指出，首席信息安全官在整个企业中的知名度很高，有机会在安全服务之外进一步创造更多的价值。

他举了一个例子，毕马威与一家大型金融机构的首席信息安全官合作，评估其数据的风险。在进行这项评估时，首席信息安全官发现，收集的数据以及多个地点的数据都没有得以利用。

作为风险和安全评估的一部分，首席信息安全官和毕马威首先对数据元素进行评分。然后，他们记录了不同的日期元素是否对竞争优势有用，它们是否存在于多个地方，以及是否实际用于多个地方。

首席信息安全官还与IT部门分享了他的见解，IT部门随后消除了冗余，减少了数据占用空间——此举既节省了公司资金，又降低了安全风险。与此同时，该公司的市场部使用首席信息安全官对数据的深度分析结果，在工作中更有针对性。

Buffomante解释说：“正是首席信息安全官从数据中获得了深度分析结果，使企业能够思考怎样使数据更有价值。”

发现政策和程序上的失误

作为标准安全审查的一部分，首席信息安全官通常会发现他们自己的程序和协议中存在的漏洞，他们可以使用相同的流程来发现相关领域的失误，从而为其企业带来更多的价值。

退休的美国空军准将Gregory J.Touhill是奥巴马政府期间的第一个联邦政府首席信息安全官，现在是卡内基梅隆大学海因茨信息系统和公共政策学院的兼职教员，他说：“我们所有人都应该接受让整个企业变得更好的方法。”

Touhill是在凭经验说话。他列举了一个在咨询过程中发生的特殊事件，当时他的一位安全分析师发现并调查了一些异常活动，这些活动表明新员工的审查和入职存在问题。

Touhill说：“这超出了他们的职责范围，但他们发出了警报，结果我们改进了入职过程。”

当然，此类问题要想引起其他高管的注意，需要首席信息安全官充分发挥自己的沟通技巧，正如Touhill所指出的那样，“在企业中你是有责任解决这个问题的。”

发现不必要的开支

首席信息安全官已经在寻找哪些技术是不必要的，以防止带来安全风险，而资深安全高管Gene Fredriksen认为，安全领导发现不必要的技术开支可以帮助企业控制预算。

Fredriksen是美国国家信用联盟信息共享与分析组织（NCU-ISAO）执行董事，也是Pure IT信用联盟服务公司的网络安全负责人，他说：“现在要运行服务器非常简单，因为它是基于云的，但是每次有人启动运行一个带有应用程序的服务器时，企业就必须支付费用，所以当进行许可审核时，高管们往往会感到震惊。”

为保护知识产权提供技能

OutSecure有限公司总裁Pamela Gupta也是网络安全女性组织（WiCyS）的一员，她说：“发现没有得到充分保护的知识产权通常不是首席信息安全官的职责，但他们可以在这方面发挥作用。”

Gupta曾与一位首席信息安全官合作，他的任务是控制好公司的财务和信用卡数据，但在这一过程中，他发现需要提高公司知识产权的安全性。

Gupta说：“我看到，即使是大企业，也没有采取基于风险的方法来保护知识产权，没有把企业内的各个点连接起来”，她继续补充说，首席信息安全官如果能够运用基于风险的培训知识来恰当地发现并保护知识产权，这将是一项非常宝贵的服务。

让安全成为卖点

Keri Pearlson博士说，无论是购买现成产品的日常消费者，还是与供应商谈合同的高管，都希望与自己打交道的企业是安全的。他们越来越希望能够提供安全证明。

Pearlson补充说：“敢于表明自己的企业是安全的，这就能创造收入。”这为首席信息安全官提供了机会。“如果我作为一名首席信息安全官，向你展示我的公司更安全，那么我就从战略上给你提供了与我开展业务的机会。”

她说，她曾与一家将数字組件整合到产品中的公司合作，该公司的首席信息安全官将他的工作范围从保护内部系统扩展到了从事安全功能的产品开发。

她补充道：“首席信息安全官是有机会的，他抓住了机会，参与到产品开发中。这不是首席信息安全官的传统角色，但他们在这方面能产生重大影响，特别是当我们向前发展时，一切都有数字化的因素。”

搭建桥梁

首席信息安全官与首席信息官和首席财务官等同行一样，是在整个企业中工作，因此有机会在企业层面建立关系。资深的安全领导、专注于IT治理的专业协会ISACA刚卸任的董事会主席Brennan P.Baybeck表示，这让首席信息安全官成了一名“大使”。

他指出，首席信息安全官的工作涉及几乎所有的执行和战略领域——从数据相关问题到法律、隐私和治理，当然还有安全。因此，他们的任务是与很多其他同事合作寻找解决方案。

Baybeck同时也是甲骨文公司客户服务首席信息安全官，他说：“他们能看到需要改进的地方，在公司内部就能把这些工作做好。”

他建议首席信息安全官利用这些经验，在各职能部门之间发挥协调作用，并通过打破剩余的孤岛，在各部门之间建立沟通网络，以帮助企业更好地管理风险。

帮助合作伙伴

同样，Fredriksen认为首席信息安全官有机会与自己企业的业务伙伴合作——通过保证和加强整个供应链的安全性，合作一定会有回报。

他说，作为一名首席信息安全官，他为一些供应商和分销商举办安全研讨会（这些供应商和分销商由于企业规模不够大而无法自己举办研讨会），并出于类似的原因与他们分享了安全警报和合规更新。

他补充道：“你应该分享最好的做法，因为我们大家在一起会变得更好。”

寻找、促进标准化的机会

IT服务公司Garnet River有限合伙公司的首席信息安全官Michael D.Weisberg曾为一家大型企业的首席信息安全官提供咨询服务，这家企业实施了不同的系统去处理各个地点的付款。该企业有23个不同的平台来处理同一个流程——这种情况不仅让首席信息安全官感觉既复杂成本又高，而且那些为所有这些系统提供支持的技术人员也觉得没有必要这么复杂。

首席信息安全官认识到这些不同的系统给本企业带来了负担，因此创建了一个统一的框架，将所有系统的安全和技术要求进行了标准化。整个企业和首席信息安全官本人都受益于这项标准化工作。

Weisberg说：“维持一个标准化功能性环境需要的员工人数减少了，而且更容易保证环境的高效性。”

制定战略规划

随着首席信息安全官发展成为高管合伙人，就网络安全问题向高管团队提供建议，这促使首席信息安全官可参与制定更多的企业战略规划。

非营利性烟草控制组织Truth Initiative的首席信息和网络安全官Derrick A.Butts说：“制定战略规划是为了与企业的愿景保持一致，帮助节省资金，并改进全体员工的工作流程。”

Butts已经看到了战略性工作是怎样带来回报的。

他指的是五年前为搬进新楼而做的规划工作。尽管设施管理似乎不在首席信息安全官的职责范围内，但他很早就加入了讨论，并影响了进入新大楼的网络基础设施建设。Butts建议他的同事们在网络基础设施中增加一些功能，既能为大量的远程工作提供支持，又能保证远程工作的安全性，他说服其他高管，如果出现了暴风雪等导致办公室关闭的事件，该计划将确保业务连续性。

当新冠病毒疫情来袭时，Butts参与制定规划的价值显现了出来，因为其公司的员工无缝地、迅速地过渡到了远程工作环境。

Butts补充说：“我们不需要重新评估和引入新的系统来实现远程工作。我们已经有了。我們能像往常一样开展工作。”

简化监管控制措施

随着立法机构和私人实体颁布越来越多的安全和隐私法规，例如加利福尼亚消费者保护法，企业必须实施自己的控制措施以遵守法规。

但是，由于监管随着时间的推移不断变化，很多高管都是一个案例一个案例地去处理——这种方法往往导致复杂、冗余的控制措施和相关流程。

云计算提供商Fastly的首席信息安全官Mike Johnson表示，考虑到安全领导人负有各种监管责任，他们通常能够找到简化这些控制措施的方法。

他说：“首席信息安全官通过简化与安全相关的操作和合规措施，能带来更多的价值。降低这些职能的成本给企业创造了价值。繁重的人工操作流程具有较高的资金成本和机会成本，而自动化（以及其他改进方法）确实有跨部门的好处。”

本文作者Mary K. Pratt是马萨诸塞州的一名自由撰稿人。

原文网址

https：//www.csoonline.com/article/3572382/10-value-adds-that-cisos-can-deliver.html