Mary K. Pratt Charles

與所有高管一樣，首席信息安全官也面臨著壓力，要展示自己和自己的部門(mén)為企業(yè)帶來(lái)了怎樣的價(jià)值。

然而，很多人表示，他們?nèi)匀缓茈y做到這一點(diǎn)。

據(jù).uk域名注冊(cè)中心Nominet的報(bào)告《生活在外圍：理解現(xiàn)代首席信息安全官》，只有52%的首席信息安全官表示，他們覺(jué)得自己的高管們是從收入和品牌保護(hù)的角度來(lái)評(píng)價(jià)安全部門(mén)。

然而，領(lǐng)先的安全專(zhuān)家表示，首席信息安全官通過(guò)使業(yè)務(wù)能夠安全的運(yùn)營(yíng)，確實(shí)為他們的企業(yè)創(chuàng)造了價(jià)值。與此同時(shí)，一些首席信息安全官正在通過(guò)增值活動(dòng)帶來(lái)額外的回報(bào)：他們通過(guò)各種舉措降低成本，開(kāi)辟新的戰(zhàn)略商機(jī)，甚至增加收入。

麻省理工學(xué)院斯隆分校（MIT Sloan，CAMS）網(wǎng)絡(luò)安全執(zhí)行董事Keri Pearlson說(shuō)：“我們看到首席信息安全官有很多機(jī)會(huì)給企業(yè)創(chuàng)造價(jià)值?！?/p>

本文介紹首席信息安全官能夠給企業(yè)帶來(lái)更多回報(bào)的10個(gè)例子：

使企業(yè)數(shù)據(jù)更有價(jià)值

畢馬威（KPMG）全球網(wǎng)絡(luò)安全實(shí)踐聯(lián)席領(lǐng)導(dǎo)人兼首席執(zhí)行官Tony Buffomante指出，首席信息安全官在整個(gè)企業(yè)中的知名度很高，有機(jī)會(huì)在安全服務(wù)之外進(jìn)一步創(chuàng)造更多的價(jià)值。

他舉了一個(gè)例子，畢馬威與一家大型金融機(jī)構(gòu)的首席信息安全官合作，評(píng)估其數(shù)據(jù)的風(fēng)險(xiǎn)。在進(jìn)行這項(xiàng)評(píng)估時(shí)，首席信息安全官發(fā)現(xiàn)，收集的數(shù)據(jù)以及多個(gè)地點(diǎn)的數(shù)據(jù)都沒(méi)有得以利用。

作為風(fēng)險(xiǎn)和安全評(píng)估的一部分，首席信息安全官和畢馬威首先對(duì)數(shù)據(jù)元素進(jìn)行評(píng)分。然后，他們記錄了不同的日期元素是否對(duì)競(jìng)爭(zhēng)優(yōu)勢(shì)有用，它們是否存在于多個(gè)地方，以及是否實(shí)際用于多個(gè)地方。

首席信息安全官還與IT部門(mén)分享了他的見(jiàn)解，IT部門(mén)隨后消除了冗余，減少了數(shù)據(jù)占用空間——此舉既節(jié)省了公司資金，又降低了安全風(fēng)險(xiǎn)。與此同時(shí)，該公司的市場(chǎng)部使用首席信息安全官對(duì)數(shù)據(jù)的深度分析結(jié)果，在工作中更有針對(duì)性。

Buffomante解釋說(shuō)：“正是首席信息安全官?gòu)臄?shù)據(jù)中獲得了深度分析結(jié)果，使企業(yè)能夠思考怎樣使數(shù)據(jù)更有價(jià)值。”

發(fā)現(xiàn)政策和程序上的失誤

作為標(biāo)準(zhǔn)安全審查的一部分，首席信息安全官通常會(huì)發(fā)現(xiàn)他們自己的程序和協(xié)議中存在的漏洞，他們可以使用相同的流程來(lái)發(fā)現(xiàn)相關(guān)領(lǐng)域的失誤，從而為其企業(yè)帶來(lái)更多的價(jià)值。

退休的美國(guó)空軍準(zhǔn)將Gregory J.Touhill是奧巴馬政府期間的第一個(gè)聯(lián)邦政府首席信息安全官，現(xiàn)在是卡內(nèi)基梅隆大學(xué)海因茨信息系統(tǒng)和公共政策學(xué)院的兼職教員，他說(shuō)：“我們所有人都應(yīng)該接受讓整個(gè)企業(yè)變得更好的方法?！?/p>

Touhill是在憑經(jīng)驗(yàn)說(shuō)話(huà)。他列舉了一個(gè)在咨詢(xún)過(guò)程中發(fā)生的特殊事件，當(dāng)時(shí)他的一位安全分析師發(fā)現(xiàn)并調(diào)查了一些異?；顒?dòng)，這些活動(dòng)表明新員工的審查和入職存在問(wèn)題。

Touhill說(shuō)：“這超出了他們的職責(zé)范圍，但他們發(fā)出了警報(bào)，結(jié)果我們改進(jìn)了入職過(guò)程?！?/p>

當(dāng)然，此類(lèi)問(wèn)題要想引起其他高管的注意，需要首席信息安全官充分發(fā)揮自己的溝通技巧，正如Touhill所指出的那樣，“在企業(yè)中你是有責(zé)任解決這個(gè)問(wèn)題的。”

發(fā)現(xiàn)不必要的開(kāi)支

首席信息安全官已經(jīng)在尋找哪些技術(shù)是不必要的，以防止帶來(lái)安全風(fēng)險(xiǎn)，而資深安全高管Gene Fredriksen認(rèn)為，安全領(lǐng)導(dǎo)發(fā)現(xiàn)不必要的技術(shù)開(kāi)支可以幫助企業(yè)控制預(yù)算。

Fredriksen是美國(guó)國(guó)家信用聯(lián)盟信息共享與分析組織（NCU-ISAO）執(zhí)行董事，也是Pure IT信用聯(lián)盟服務(wù)公司的網(wǎng)絡(luò)安全負(fù)責(zé)人，他說(shuō)：“現(xiàn)在要運(yùn)行服務(wù)器非常簡(jiǎn)單，因?yàn)樗腔谠频?，但是每次有人啟?dòng)運(yùn)行一個(gè)帶有應(yīng)用程序的服務(wù)器時(shí)，企業(yè)就必須支付費(fèi)用，所以當(dāng)進(jìn)行許可審核時(shí)，高管們往往會(huì)感到震驚?！?h3>為保護(hù)知識(shí)產(chǎn)權(quán)提供技能

OutSecure有限公司總裁Pamela Gupta也是網(wǎng)絡(luò)安全女性組織（WiCyS）的一員，她說(shuō)：“發(fā)現(xiàn)沒(méi)有得到充分保護(hù)的知識(shí)產(chǎn)權(quán)通常不是首席信息安全官的職責(zé)，但他們可以在這方面發(fā)揮作用?！?/p>

Gupta曾與一位首席信息安全官合作，他的任務(wù)是控制好公司的財(cái)務(wù)和信用卡數(shù)據(jù)，但在這一過(guò)程中，他發(fā)現(xiàn)需要提高公司知識(shí)產(chǎn)權(quán)的安全性。

Gupta說(shuō)：“我看到，即使是大企業(yè)，也沒(méi)有采取基于風(fēng)險(xiǎn)的方法來(lái)保護(hù)知識(shí)產(chǎn)權(quán)，沒(méi)有把企業(yè)內(nèi)的各個(gè)點(diǎn)連接起來(lái)”，她繼續(xù)補(bǔ)充說(shuō)，首席信息安全官如果能夠運(yùn)用基于風(fēng)險(xiǎn)的培訓(xùn)知識(shí)來(lái)恰當(dāng)?shù)匕l(fā)現(xiàn)并保護(hù)知識(shí)產(chǎn)權(quán)，這將是一項(xiàng)非常寶貴的服務(wù)。

讓安全成為賣(mài)點(diǎn)

Keri Pearlson博士說(shuō)，無(wú)論是購(gòu)買(mǎi)現(xiàn)成產(chǎn)品的日常消費(fèi)者，還是與供應(yīng)商談合同的高管，都希望與自己打交道的企業(yè)是安全的。他們?cè)絹?lái)越希望能夠提供安全證明。

Pearlson補(bǔ)充說(shuō)：“敢于表明自己的企業(yè)是安全的，這就能創(chuàng)造收入?！边@為首席信息安全官提供了機(jī)會(huì)?！叭绻易鳛橐幻紫畔踩伲蚰阏故疚业墓靖踩?，那么我就從戰(zhàn)略上給你提供了與我開(kāi)展業(yè)務(wù)的機(jī)會(huì)?！?/p>

她說(shuō)，她曾與一家將數(shù)字組件整合到產(chǎn)品中的公司合作，該公司的首席信息安全官將他的工作范圍從保護(hù)內(nèi)部系統(tǒng)擴(kuò)展到了從事安全功能的產(chǎn)品開(kāi)發(fā)。

她補(bǔ)充道：“首席信息安全官是有機(jī)會(huì)的，他抓住了機(jī)會(huì)，參與到產(chǎn)品開(kāi)發(fā)中。這不是首席信息安全官的傳統(tǒng)角色，但他們?cè)谶@方面能產(chǎn)生重大影響，特別是當(dāng)我們向前發(fā)展時(shí)，一切都有數(shù)字化的因素?！?h3>搭建橋梁

首席信息安全官與首席信息官和首席財(cái)務(wù)官等同行一樣，是在整個(gè)企業(yè)中工作，因此有機(jī)會(huì)在企業(yè)層面建立關(guān)系。資深的安全領(lǐng)導(dǎo)、專(zhuān)注于IT治理的專(zhuān)業(yè)協(xié)會(huì)ISACA剛卸任的董事會(huì)主席Brennan P.Baybeck表示，這讓首席信息安全官成了一名“大使”。

他指出，首席信息安全官的工作涉及幾乎所有的執(zhí)行和戰(zhàn)略領(lǐng)域——從數(shù)據(jù)相關(guān)問(wèn)題到法律、隱私和治理，當(dāng)然還有安全。因此，他們的任務(wù)是與很多其他同事合作尋找解決方案。

Baybeck同時(shí)也是甲骨文公司客戶(hù)服務(wù)首席信息安全官，他說(shuō)：“他們能看到需要改進(jìn)的地方，在公司內(nèi)部就能把這些工作做好?！?/p>

他建議首席信息安全官利用這些經(jīng)驗(yàn)，在各職能部門(mén)之間發(fā)揮協(xié)調(diào)作用，并通過(guò)打破剩余的孤島，在各部門(mén)之間建立溝通網(wǎng)絡(luò)，以幫助企業(yè)更好地管理風(fēng)險(xiǎn)。

幫助合作伙伴

同樣，F(xiàn)redriksen認(rèn)為首席信息安全官有機(jī)會(huì)與自己企業(yè)的業(yè)務(wù)伙伴合作——通過(guò)保證和加強(qiáng)整個(gè)供應(yīng)鏈的安全性，合作一定會(huì)有回報(bào)。

他說(shuō)，作為一名首席信息安全官，他為一些供應(yīng)商和分銷(xiāo)商舉辦安全研討會(huì)（這些供應(yīng)商和分銷(xiāo)商由于企業(yè)規(guī)模不夠大而無(wú)法自己舉辦研討會(huì)），并出于類(lèi)似的原因與他們分享了安全警報(bào)和合規(guī)更新。

他補(bǔ)充道：“你應(yīng)該分享最好的做法，因?yàn)槲覀兇蠹以谝黄饡?huì)變得更好?！?h3>尋找、促進(jìn)標(biāo)準(zhǔn)化的機(jī)會(huì)

IT服務(wù)公司Garnet River有限合伙公司的首席信息安全官M(fèi)ichael D.Weisberg曾為一家大型企業(yè)的首席信息安全官提供咨詢(xún)服務(wù)，這家企業(yè)實(shí)施了不同的系統(tǒng)去處理各個(gè)地點(diǎn)的付款。該企業(yè)有23個(gè)不同的平臺(tái)來(lái)處理同一個(gè)流程——這種情況不僅讓首席信息安全官感覺(jué)既復(fù)雜成本又高，而且那些為所有這些系統(tǒng)提供支持的技術(shù)人員也覺(jué)得沒(méi)有必要這么復(fù)雜。

首席信息安全官認(rèn)識(shí)到這些不同的系統(tǒng)給本企業(yè)帶來(lái)了負(fù)擔(dān)，因此創(chuàng)建了一個(gè)統(tǒng)一的框架，將所有系統(tǒng)的安全和技術(shù)要求進(jìn)行了標(biāo)準(zhǔn)化。整個(gè)企業(yè)和首席信息安全官本人都受益于這項(xiàng)標(biāo)準(zhǔn)化工作。

Weisberg說(shuō)：“維持一個(gè)標(biāo)準(zhǔn)化功能性環(huán)境需要的員工人數(shù)減少了，而且更容易保證環(huán)境的高效性?！?h3>制定戰(zhàn)略規(guī)劃

隨著首席信息安全官發(fā)展成為高管合伙人，就網(wǎng)絡(luò)安全問(wèn)題向高管團(tuán)隊(duì)提供建議，這促使首席信息安全官可參與制定更多的企業(yè)戰(zhàn)略規(guī)劃。

非營(yíng)利性煙草控制組織Truth Initiative的首席信息和網(wǎng)絡(luò)安全官Derrick A.Butts說(shuō)：“制定戰(zhàn)略規(guī)劃是為了與企業(yè)的愿景保持一致，幫助節(jié)省資金，并改進(jìn)全體員工的工作流程?！?/p>

Butts已經(jīng)看到了戰(zhàn)略性工作是怎樣帶來(lái)回報(bào)的。

他指的是五年前為搬進(jìn)新樓而做的規(guī)劃工作。盡管設(shè)施管理似乎不在首席信息安全官的職責(zé)范圍內(nèi)，但他很早就加入了討論，并影響了進(jìn)入新大樓的網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)。Butts建議他的同事們?cè)诰W(wǎng)絡(luò)基礎(chǔ)設(shè)施中增加一些功能，既能為大量的遠(yuǎn)程工作提供支持，又能保證遠(yuǎn)程工作的安全性，他說(shuō)服其他高管，如果出現(xiàn)了暴風(fēng)雪等導(dǎo)致辦公室關(guān)閉的事件，該計(jì)劃將確保業(yè)務(wù)連續(xù)性。

當(dāng)新冠病毒疫情來(lái)襲時(shí)，Butts參與制定規(guī)劃的價(jià)值顯現(xiàn)了出來(lái)，因?yàn)槠涔镜膯T工無(wú)縫地、迅速地過(guò)渡到了遠(yuǎn)程工作環(huán)境。

Butts補(bǔ)充說(shuō)：“我們不需要重新評(píng)估和引入新的系統(tǒng)來(lái)實(shí)現(xiàn)遠(yuǎn)程工作。我們已經(jīng)有了。我們能像往常一樣開(kāi)展工作?！?h3>簡(jiǎn)化監(jiān)管控制措施

隨著立法機(jī)構(gòu)和私人實(shí)體頒布越來(lái)越多的安全和隱私法規(guī)，例如加利福尼亞消費(fèi)者保護(hù)法，企業(yè)必須實(shí)施自己的控制措施以遵守法規(guī)。

但是，由于監(jiān)管隨著時(shí)間的推移不斷變化，很多高管都是一個(gè)案例一個(gè)案例地去處理——這種方法往往導(dǎo)致復(fù)雜、冗余的控制措施和相關(guān)流程。

云計(jì)算提供商Fastly的首席信息安全官M(fèi)ike Johnson表示，考慮到安全領(lǐng)導(dǎo)人負(fù)有各種監(jiān)管責(zé)任，他們通常能夠找到簡(jiǎn)化這些控制措施的方法。

他說(shuō)：“首席信息安全官通過(guò)簡(jiǎn)化與安全相關(guān)的操作和合規(guī)措施，能帶來(lái)更多的價(jià)值。降低這些職能的成本給企業(yè)創(chuàng)造了價(jià)值。繁重的人工操作流程具有較高的資金成本和機(jī)會(huì)成本，而自動(dòng)化（以及其他改進(jìn)方法）確實(shí)有跨部門(mén)的好處?！?/p>

本文作者M(jìn)ary K. Pratt是馬薩諸塞州的一名自由撰稿人。

原文網(wǎng)址

https：//www.csoonline.com/article/3572382/10-value-adds-that-cisos-can-deliver.html