黄金岛官网

当前位置:平安行业动态 → 正文

CISO的最新职责:建立信任

责任编辑:cres 作者:Mary K. Pratt |来源:黄金岛官网  2019-11-03 08:23:02 原创文章 黄金岛官网

信任正在成为市场中的一个差别化因素,而那些寻求在他们的工作中饰演更有战略意义的角色的CISO则必须让所有的利益相关者都介入进来,建立信任,使组织能够考虑到他们的最佳利益。
 
Kirsten Davies面临着一项艰巨的任务:让她的公司的欧洲员工采取新的平安协议,而他们则担心这些协议会被用来监视自已。
 
Kirsten其时是HPE的副手CISO,他需要让公司的员工们掌握各种新的工具和政策,就在欧盟准备公布通用数据掩护条例(GDPR)的时候,该条例是一套全面的隐私规则。然则工人们担心平安工具会被公司用于监控,他们质疑平安工具的能力是否会侵犯他们自己的隐私。
 
为了解决这些问题,Davies走遍欧洲,会见工人委员会,论述公司面临的风险和引进工具的重要性。她从德国开始,在那里,母语为英语的美国人Davies用她流利的德语来建立融洽的关系。
 
Davies解释说,其目标是让工人们理解新工具是如何掩护他们和公司的,以及为什么他们如此关键。她胜利了,与德国工人委员会签订了网络平安总协议,成为了HPE 20多个海外工人委员会类似协议的范例。
 
“这是有史以来的第一份网络平安协议,让我们双方都有了一份可信的协议,可以说我们正在合作掩护公司,”Davies说。
 
Davies,现任雅诗兰黛公司的高级副总裁兼首席营销官,该公司是一家跨国美容产品品牌制造商和营销商,她说,2016年她在这些工人委员会的工作经历与平安职能部分的一项新职责不约而同:说服各成员相信,在数据平安和隐私方面,他们可以信任组织及其领导人,让他们做正确的事。
 
“信任现在有点进化了,但人们期望与我们的交易是平安、稳定和真实的,”Davies说。
 
与首席信息官一样,首席信息官和他们的IT同行也经历了角色的演变,从专注于战术安排的管理职位转变为了介入战略的高管职位。现在,CISO的位置正在进一步演变,成为了一个需要让所有组织利益相关者--从客户和业务伙伴再到员工和董事会成员--都介入进来的角色,以建立信心,让人们相信,在网络平安的问题上,组织的最大利益都在考虑之中。
 
然而,这不仅仅是一个深奥的讨论或哲学练习:首席执行官们也相信,建立和坚持与利益相关者的信任对于数字时代的胜利至关重要。普华永道在其第21次全球首席执行官查询拜访中发现,87%的全球首席执行官表示,他们正在投资网络平安,以建立与客户的信任。
 
信任似乎正在成为市场上的一个差别化因素。
 
“能够以合乎道德的方式使用数据、以应有的方式掩护和管理数据的组织将获得实质性的竞争优势,”普华永道网络平安和隐私业务负责人Shawn Connors说。
 
信任的价值
 
普华永道警告高管们不要低估当今数字世界对信任的需求,也不要低估信任的价值。
 
普华永道在2018年秋季的申报<数字化信任之旅>中写道:“如果数字经济的命脉是数据,那么它的核心就是数字化的信任--对构建平安数字化世界的人、过程和技术的信心水平。”
 
当然,只要角色存在,CISO就将一直致力于掩护其组织的系统及其包含的数据。企业高管和董事会成员早就期望CISO能够实现这些要素;甚至客户和业务伙伴也开始期待CISO能够将这些任务执行到可接受的水平。
 
不过,如今CISO也面临着越来越大的社会期望,来自Dallas的一名律师Benjamin Wright说。
 
“社会正在通过法律和实施规则,规定‘这就是我们期望你需要满足的复杂要求,如果你不满足这些要求并包管这些器械的平安,你将会受随处罚。’”他说。
 
Wright说,因此,CISO的角色开始变得像首席财务官,整个平安职能部分在企业中的位置开始类似于法律部分,因为平安--像财务和法律一样--有超出其日常职责的义务。
 
“我并不是说平安团队需要像律师或注册会计师一样获得许可。然而,从历史上看,企业切实其实需要依赖那些法律和金融专业人士向他们提供专业建议,这些建议很有分量。“我相信,由于社会对企业提出的解决网络平安问题的要求,有许多大型企颐魅正朝着网络平安团队的专业位置转移,”Wright说。“社会在说,大企业,你有责任掩护个人身份信息和资源之类的器械,如果你不履行这一责任,就会受随处罚。”
 
然而,Wright也指出,社会纷歧定会表示出对企业平安的盲目信任。他指出,一些法规会要求组织证明他们正在解决网络平安的需求,例如2017年纽约金融服务部对金融服务公司的网络平安要求。还有联邦贸易委员会2019年的决定,要求Facebook首席执行官Mark Zuckerberg亲自证明他的公司正在努力掩护消费者隐私,这一要求源于联邦贸易委员会与Facebook就Cambridge Analytica丑闻中滥用客户数据杀青的和解。
 
研究人员、顾问和CISO表示,他们并不期望所有组织都需要签署这样的声明,但他们确实期望将来可以有更多这样的规则。他们还同意,企业领导人必须向其利益相关者证明,他们正在努力掩护IT系统及其包含的数据。
 
“信任会随着时间的推移而赢得,”Connors弥补道,“只收集你需要的器械,根据要求终止它,掩护它并合乎道德地使用它。”
 
培养信任
 
培养数字信任对许多人来说可能是一场奋斗。
 
2018年数字转型指数是一项针对来自40多个国家的4600名企业领袖的查询拜访,这些企业领袖来自Dell Technologies,英特尔和Vanson Bourne,查询拜访发现,49%的人“担心他们的组织在5年内不会被证明是值得信赖的。”
 
查询拜访还发现,91%的企颐魅正面临着连续的数字化转换障碍,“数据隐私和平安问题是最主要的障碍,还有资源和技能的限制(第二和第三)以及监管和立法变更和不成熟的数字文化,这些是排在前五的挑战。
 
然而,Connors、Wright和其他人认为,CISO应该认识到他们有机会发生信任。
 
他们表示,CISO可以通过与他们的高管同事建立关系,将平安职能纳入战略讨论,并让董事会介入到他们所期望的业务条款中来,这是CISO在过去几年中一直听到的建议。
 
Wright说,从那里,CISO可以考虑如何在书面政策、内部信息甚至是公开声明中说明他们对平安和隐私的努力,他指出,CISO现在不仅必须培养对其他高管和董事会的信任,还必须培养对普通员工、商业伙伴、消费者、监管机构和整个社会的信任。
 
Connors对此表示同意,他说:“数字信任的话题将会是一种越来越强烈的情绪。人们想和那些处理好数据的人做生意,而那些处理欠好数据的人将必须面对某种水平的后果。”
 
此外,消费者也越来越多地询问组织将如何处理他们的数据、如何掩护数据、在哪里使用数据以及为什么要共享数据。CISO最好将信息添加到响应此类查询的组织声明和策略中。
 
“不要只是告诉人们你有政策。他们想知道数据的去向。向他们证明你有适当的控制水平,”Connors解释说,CISO可以进一步培养信任,注解他们不仅在采取办法掩护自己组织内的数据,而且还在努力确保他们的业务伙伴和合作伙伴也同样尽职尽责。
 
然而,CISO在这项任务中不该该感到孤独。
 
“CISO的角色是提供一定水平的保密性、完整性和可用性,”Connors说,他引用了历久以来被称为中情局三元组的网络平安模式,“而且这不仅仅是CISO的责任。这是一个关于整个组织应该如何建立信任的话题。”
 
普华永道在其数字信任申报中宣称这是一项值得的努力:“向互联世界展示为何在平安、可靠性、隐私和数据伦理方面发挥领导作用的公司,将成为未来的巨头。”
 
建立“北极星”般的信任关系
 
咨询公司SideChannel Security的合伙人和联合开创人、前CISO人 Brian Haugli表示,许多销售代表在寻求建立信任时都邑面临挑战。
 
Haugli说,CISO经常会遇到仍然把平安性视为速度和业务增长障碍的业务同事。CISO有时会发现它们不是早期战略讨论的一部分,而是在后期阶段--当平安性更难集成时--被循环引入到计划傍边。
 
与此同时,Haugli表示,一些首席信息官可能还没有准备好承担建立信任的任务。这些CISO可能还不认为自己是业务推动者、关键顾问和战略合作伙伴,而是被卡在CISO角色的一个版本之中,主要从事于技术监督和拦截平安计划。
 
事实上,至少有一项查询拜访注解,许多组织并没有完全接受这一概念。
 
The Cloudfathers:一份《财富》500强的网络平安分析,云接入平安经纪公司Bitglass于2019年9月发布了一份研究申报,研究了《财富》500强企业中与平安相关的面向公众的信息。分析发现,77%的公司没有说明谁应对他们的平安策略负责,而52%的公司在其网站上除了法律要求的隐私通知外,没有任何关于如何掩护消费者和合作伙伴数据的声明。
 
另一方面,一些CISO已经将信任作为了整个平安功能的黄金岛官方主题。
 
以Omar Khawaja为例,他是国家健康与福利组织Highmark Health的首席信息官。他认为信任是他和他的平安团队所做工作的缩影,实际上,当他们在2019年初重写平安计划的使命陈述以更好地与公司的战略愿景坚持一致时,他也宣布了同样多的内容。
 
旧的任务声明谈到了平安部分的三个业务目标--合规性、隐私性和效率--这三个目标是通过遵循中情局的三位一体原则实现的。
 
新愿景声明写道:“我们的愿景是实现一个人们能够毫不含糊地相信自己的信息是平安的世界。”
 
“信任真的应该像是北极星,”Khawaja解释说,他开始明白平安团队的活动都是为了支持这种信任。
 
Khawaja表示,他是在几年前开始更多地加入与公司客户的会议后获得这种认识的。这些客户发现,越来越多的医疗机构受到了网络攻击和数据泄露的困扰,他们希望获得包管,即他们的数据在健康状况良好的情况下是平安的。
 
“所以我率领客户了解了网络的风险,我们对他们做了什么,以及他们对我们所做的事情的感受,”Khawaja说。“我一直觉得,这些讨论的胜利性在于,他们是否觉得他们的信息平何在可靠的人手中,他们是否觉得Highmark在数据处理方面已经做得足够好了。”
 
版权声明:本文为黄金岛官网编译,转载需注明出处为:黄金岛官网,如果不注明出处,黄金岛官网将保存追究其法律责任的权利。

关键字:平安 CISO

原创文章 黄金岛官网

CISO的最新职责:建立信任 扫一扫
分享本文到朋友圈

关于我们联系我们版权声明友情链接广告服务会员服务投稿黄金岛官方招贤纳士

企业网版权所有©2010-2019 京ICP备09108050号-6

^