CISO 的职责 – 问责制和网络弹性

[prisilabr03]

了解更多
雷·赫弗
雷·赫弗
多年来，我注意到网络安全领域的一个重要趋势是过度依赖既定做法，而不去质疑它们是否仍然有效。当我与组织合作时，我经常遇到这种阻力，尤其是围绕“但我们一直都是这样做的”这一理由。

作为现场 CISO，我职责的一个关键方面是将业务目标和计划与数据弹性和恢复方面的新创新相结合。当遇到这种阻力时，我经常会问“一直都是这样做的”是否是继续这样做的充分理由。跟进并询问他们为什么一开始就这样做也是有用的。有趣的是，答案往往是，当他们开始这样做时，一位前任经理指示他们这样做，而且从未有人质疑过。

这是一次有趣的对话。当然，有些网络安全程序或流程在 10 年前是 巴西 whatsapp 数据 最佳的，但今天不一定如此。由于压力越来越大，预算缩减，他们常常维持“现状”，这会扼杀创新。起初，他们有些抵触，但渐渐地，他们开始明白我的观点。目的不是批判，而是引发深思熟虑的问题。这是关于挑战假设并重新评估长期做法的有效性。

在我担任现场 CISO 的经历中，我采用了一个简单的指导原则：“这对企业有什么用？”事实证明，这非常有效。对于 CISO 来说，至关重要的是要质疑既定做法是否仍在满足组织的安全需求。网络安全与金融或法律等其他学科相差甚远，这些学科的核心原则仍然相对稳定。在网络安全领域，由于防御和进攻战略之间的持续斗争以及新出现的网络威胁，该领域非常活跃，它不断发展。

虽然核心战略可能保持不变，但策略必须经常调整。评估我们的安全态势时，一个关键问题是：我们真的有效吗，还是我们仍在坚持过时的做法？我们是主动出击，还是只是被动应对？当你思考这个问题时，想象一下只有你和我，一边喝咖啡一边坦诚交谈。你是否相信贵组织的网络安全方法确实有效？如果今天发生入侵，你的团队会做好准备吗？入侵是否会危及工作？