随着首席执行官(CEO)和董事会要求首席信息安全官(CISO)协助应对合规和网络风险,从商业韧性和盈利能力的角度出发,Csuite中的网络安全观念发生了显著变化。
CISO从技术专注到商业专注的演变已经持续了一段时间,未来将会有更多多元化的候选人填补这一网络安全的顶尖职位。未来的CISO必须具备风险管理的DNA,能够确保网络风险处于公众视野之内,并且在企业风险的更广泛背景下进行评估。他们需要明白,网络风险只是风险表现的另一种形式,正如财务、物流或竞争风险一样,这些风险都与实现盈利和企业健康息息相关。
要实现这一认知的关键在于CISO如何准确衡量并向董事会传达风险状态。现在,董事会问的一个简单问题是:“如果我们选择不对这款新软件/业务资产采取最大安全控制,我们将承担多大的风险?”对此提供相关答案并不容易。
有两个重要的因素可以帮助CISO consistent地提供相关答案。首先,CISO必须具备商业头脑,理解这个问题是财务性的问题,而不是技术性的问题。董事会想知道的是有多少资金处于风险中,而不是有多少关键漏洞仍然存在或需要抵御多少次攻击。因此,CISO的角色需要进化。
除了对风险管理的知识外,CISO还需要获得可靠的可视化数据。这要求CISO拥有持续监控控制的有效手段,以便基于基础真实的数据获取网络安全状态,从而转化为财务计算。理想情况下,这些监控来源能够将数据翻译成企业风险平台,以简化与业务风险的紧密连接。
不幸的是,目前网络风险可视化和监控的状态仍然相当不成熟。虽然几乎所有的网络风险平台或工具都有声称能够为董事会提供某种简单的红黄绿风险仪表盘,但这些仪表盘的实际价值往往较为肤浅。
如果CISO想要提升在管理层的地位,并推动有关网络风险的有意义讨论,他们就需要与财务部门一样,提供同样坚实的报告水平。财务报告数据因通用会计原则(GAAP)而变得极其结构化和可重复,GAAP由财务会计标准委员会(FASB)监管,确保大家以同样的方式衡量同样的事物。这种做法不仅很难舞弊,而且可以确保无论企业如何,其评估标准读数始终一致。
我相信我们需要实现安全监控的GAAP式会计,这听起来可能对行业来说是个艰巨的要求标准的竞争总是漫长且复杂。不过,我们即将达到一个点,即监管机构、保险公司和资深风险高管将争相寻找解决方案,因为对标准的需求非常迫切。
如果我们能达成一般公认的安全监控实践共识,设定标准报告结构,将使审计师更容易检查最佳实践,保险公司实时获取风险暴露级别的快照,并帮助CISO将曝光风险轻松转化为董事会可以理解的财务风险量化。这类真实情况的报告对于下一代安全高管与董事会进行关于优先分配资源、成本及未来措施的正确对话至关重要。
黑洞加速器安卓下载根据[IANS研究](https//www
