阻碍CISO议程的最大挑战

点击上方“蓝色字体”，选择 “设为星标”

关键讯息，D1时间送达！

面对全球冲突、经济不稳定和新法规激增的背景，CISO们正面临前所未有的挑战。预算紧张、资源有限、优先级冲突以及技能型人才的短缺，都是他们需要克服的障碍。为了有效应对这些挑战，CISO们必须战略性地考虑风险，学会用商业语言交流，并利用自动化工具提高效率。同时，建立强大的安全文化，确保员工具备应对威胁的实践能力至关重要。此外，CISO还需克服企业和文化障碍，通过沟通和协作赢得内部支持，并在人才竞争中保持优势。在法规、AI和民族国家威胁日益严峻的今天，CISO们更需关注监管合规、防范新技术风险，并在保障企业安全的同时，也不忘照顾好自己。

CISO发现自己正处于一个充满挑战的雷区，从预算紧张限制资源到文化障碍，无所不包。以下是他们如何最好地应对这些挑战的方法。

在过去十年中，每位CISO都知道自己在董事会会议室里会面临什么问题：我们能否在下一次网络攻击中幸存下来?如今，随着动荡的2024年即将结束，担忧加倍了，Kinly公司的CISO唐·吉布森表示。董事会成员经常问：我们能在这场经济风暴中幸存下来吗？或者，我们为地缘政治风暴做好准备了吗?

全球冲突加剧、经济不稳定以及新法规激增，给CISO及其企业带来了压力。如今，CISO必须管理一系列问题，而往往可用的资源有限。

Foundry最近的一项调查显示，预算紧张、优先级冲突以及持续吸引和留住技能型人才的斗争，是CISO在企业安全工作努力中面临的障碍。其他挑战还包括员工意识和培训不足，以及企业和文化障碍，所有这些都可能阻碍他们有效开展工作。

虽然用更少的资源做更多的事情一直是工作的一部分，但今天的压力要求我们重新思考。

“调整你的期望，”吉布森说，“总有选择的余地。”

充分利用每一分钱

从整个企业的角度来看，网络安全通常优先级较低，因为它不直接产生收入。SafeBreach公司的CISO阿维沙伊·阿维维将其比作保险：“你宁愿不付钱，但当你需要它并且拥有它时，你会很高兴。”

资源有限，威胁清单却不断增长，CISO们往往要同时管理多个项目。其中一些项目可能会逐步推进，但如果没有明确的里程碑或可衡量的进展，就很难展示它们的实际影响。这使得CISO更难获得额外的资金或支持，尤其是当利益相关者看不到坚实、有形的结果时。

“这几乎不可能展示出有意义的成功，”Phosphorus公司的CSO约翰·特里尔说，“很多时候，这就像试图煮沸大海。”

许多CISO建议学会“用商业语言交流”，并偶尔让董事会感到害怕以获得更多资金，但这些方法的作用有限。“公司的资源是有限的，你必须接受这一点，”阿维维说。

在这种情况下，CISO必须战略性地考虑首先要解决哪些风险。关键是要弄清楚哪些需要紧急关注，哪些可以暂时保持不变。

自动化工具也可以大有帮助，尤其是对于无法负担大型、专职安全、合规和数据隐私团队的小型公司而言。“企业必须实施并利用自动化的治理、风险和合规(GRC)解决方案，以帮助整合风险、合规监控、漏洞监控和入侵检测，”Rhymetec公司的CISO梅廷·科塔克说。

平衡优先级

当面临一长串优先级但只有有限资源时，创建一套明确的风险偏好声明可能改变游戏规则。它有助于定义企业愿意接受的风险水平，从而更容易决定在哪里投入精力和资源。

“使员工和企业领导层在风险偏好上保持一致，对于将你的精力和资金集中在最需要的地方非常有帮助，”Secureworks公司的CISO肯·戴茨说，“如果企业有明确的安全风险偏好，那么优先级就会一目了然。”

CISO应该公开如果优先级得不到解决，企业将面临的风险。“这种陈述需要用与业务相关的术语来表达，”阿维维说，“仅仅告诉首席执行官和董事会我们必须通过SOC 2 Type II审计，并不如告诉他们我们的客户要求任何新销售都必须有干净的SOC 2 Type II认证那么有分量。”

吉布森也支持这种方法。“你拥有自己的策略，所以你决定优先级。如果董事会希望你改变它们，那么他们可以承担风险，并向你解释为什么这更重要。”

在整个企业建立安全文化

有些优先级可能有待商榷，但有一件事是不可协商的：在整个企业建立强大的安全文化。出于好意但仅仅出于好奇或想帮忙的员工可能会点击钓鱼链接或错误处理敏感信息，从而为威胁打开大门。

为了解决这个问题，主动培训至关重要。“企业需要投资于最新的网络安全培训，并使用AI和机器学习来模拟实时网络攻击，”科塔克说，“员工必须获得应对威胁的实践经验，以确保他们理解理论概念，并能在真实场景中应用实用技能。”

同时，保持安全应该是简单直接的——它应该感觉像是做生意的自然组成部分。“我试图以这样一种哲学来领导：做正确的事应该是容易的，”戴茨说，“如果遵守企业的安全流程很复杂且难以理解，那么你永远不会成功。”

例如，实施基于FIDO2的无密码身份验证系统将使企业更安全，并降低员工的复杂性，同时消除了记住独特复杂密码的要求，戴茨说。

安全培训应该包括每个人，即使是技术岗位的人员——特别是在IT对业务至关重要的公司中。“IT工程师被培训成交付功能性产品——一个应用程序、一个网络等——而不是安全的产品，”BforeAI公司的CSO德米特里·奇赫洛说，“CISO如果不能全面地解决这个问题，就有可能在他们的第一道防线内创建一个脆弱的人力层。”

克服企业和文化障碍

当企业和文化障碍发挥作用时，CISO的工作可能会变得具有挑战性。例如，当安全团队由于无法控制的因素而无法发挥最佳表现时，他们可能会感到沮丧或气馁。而其他团队往往需要了解为什么支持那些不会立即产生结果的网络安全相关项目很重要。

为了解决这个问题，阿维维调整了自己的信息传达方式，旨在以真正引起每个团队共鸣的方式与他们沟通。“例如，开发人员会坦率地承认，主动并按照自己的节奏修复安全漏洞要比等到漏洞变成必须放下一切去修复的违规行为，让客户对着他们大吼大叫容易得多，”他说，“作为CISO，你必须了解他们的需求和背景，以及你的计划如何影响他们。”

许多企业和文化障碍可以通过沟通和协作来克服。“在与同事领导管理关系和建立信任上花费时间和精力，绝不是浪费精力，”戴茨说。

赢得人才竞争

由于人才缺口仍然影响着网络安全领域，CISO必须在建设和保持一支技能型团队方面保持聪明。通常，网络安全专家比开发人员更难替换，而且这个过程需要时间和金钱。

“对于一些像工程这样的职位，员工可以并且经常从第一天就开始工作，”科塔克说，“当聘请新的网络安全员工时，他们必须了解公司的历史知识，并接受培训，学习前任制定的过往框架和安全政策。”

在招聘时，戴茨建议企业优先考虑热情和职业道德，而不是技术知识和经验。“领导者应该考虑培训人员来做这项工作，这比支付市场上最有经验的候选人更有投资价值，”他说，“最好的安全表现者几乎总是你从一开始就培训的那个人。”

如果员工感觉有机会成长，他们往往更愿意留在公司。这就是为什么为他们设定目标并“提供晋升机会”很关键，特里尔说。管理他们的工作量也是如此。正如Radware公司的CISO霍华德·泰勒所说，“在没有能力增加更多员工和工具的情况下，CISO和安全团队的工作量继续呈指数级增长，增加了倦怠的风险。”

为了防止这种情况，CISO应该照顾好他们的团队，并允许他们不时地休息一下。这正是吉布森在一个月坏天气后的一个晴天所做的。“我把他们召集起来开紧急会议，告诉他们离开机器，出去一个小时。感受阳光。呼吸新鲜空气，”他说，“他们至今仍在谈论这件事。”

法规、AI、民族国家破坏CISO的计划

CISO还需要处理其他一些问题。其中之一与快速演变的监管要求有关。“全球各地的监管机构都开始对他们希望在企业内部看到的安全计划施加更多控制，因此，监管合规被高度优先考虑，”戴茨说。

AI也在改变游戏规则。据阿维维称，在没有完全理解所有影响的情况下，人们正争相在多个层面拥抱AI技术。“与之相关的是整个深度伪造的话题，这放大了恶意行为者成功对你最脆弱的资产——你的员工——执行社会攻击的能力。”

特里尔还担心由国家赞助的攻击。“这开始改变很多优先级，让我们开始关注零信任、微细分、OT/IoT防御以及其他被认为更先进的策略，”他说，“这是在许多行业团体反对CISA在CIRCIA中的报告要求的背景下发生的。因此，虽然有提高安全的愿望，但不太愿意报告事件。”

鉴于所有这些压力，吉布森建议CISO记住他们也是人，应该试着照顾好自己。“记住，你的工作并不爱你，”他说，“像我一样热爱你的工作是可以的，但如果你忽视了自己，由于某种原因无法继续，是的，人们会感到难过，但你的工作将在几周内被填补。你的工作并不爱你。”