【翻译】NTSC对话JPMorgan Chase: Jason Witty

翻译整理自放之，以下回答部分的内容皆为概述。具体可参见原文，原文点击此处 。另可通过linkedin了解关于Jason Witty履历的详细内容。

1. 您认为政府，企业和安全行业在过去一年中为提高国家网络安全标准而采取的最重要的积极措施是什么？

答： NIST通过与多个政府部门和贸易团体合作，在网络安全标准方面推出了NIST安全框架1.1版本。以及在此之后，金融部门准备开发开发该框架在金融行业的特定版本。同样在2020年，NIST正在研究量子密码技术。同样其他新标准也可能会挑战防御依赖的一些工具，例如TLS1.3。

2. 在过去3-5年中，CISO的角色有何变化？ 您如何看待未来五年的变化？ 这些变化对CISO所需的技能意味着什么？

答：无论是从执法出发，从合规出发，从政策角度考虑网络安全，还是从业务出发等，CISO的作用是需要去融合所有这些要素，在过去的3-5年，CISO得到了更多企业的认可。CISO的第一项工作应该是在受威胁或受攻击的环境中以比任何时候都更灵活的方式去弃用新的技术和业务，从而进行防御。这个角色已经融合了人员，流程，技术专业知识，知识分享等，并能以业务能够理解的形式输出。除此之外，在政法金融安全（这就是所谓高安全需求的领域吧）领域，还需要考虑企业之外的生态问题。例如金融生态里，采取的任何一个操作是否会影响到其他企业。（诚然，比如银联，网联，加密机，国密局，中金认证，等等都是自成体系的）

3. 在GDPR发布后，由于各种广泛宣传的数据泄露和丑闻，隐私已成为美国越来越关注的问题。 您如何看待国家数据隐私政策的转变可能会影响CISO的发展？

答：  没有法律约束的地方可能导致缺乏监管力度以及技术能力不足。不同地理区域的规则使隐私保护更加的多样化和复杂化。在未来，我们可以通过AI,机器学习与计算机视觉或音频等结合起来，在未来的两到三年里，相信会从根本上进行一个改变。不仅是个人隐私，声誉以及企业在使用数据时的思考方式上。

4. 您认为可以通过哪些方式改进公私部门网络威胁情报共享，障碍是什么？

答： 2015年通过的《网络安全信息共享法》很好的激励了相关的合作。同时企业可以通过ISAC和ISAO来共享威胁情报，当然自动化和STIX以及TAXII也发挥了相当一部分作用。在这个过程中，政府扮演的角色主要为三种。其一是政府机构通过MS-ISAC等场所提高大型企业的参与程度，其二是寻求利用国家权利来限制网络风险，对关键基础架构风险赋予更高的关注。其三是作为立法者，可以修改法规以实现更好的信息共享。例如扩大CISA 2015的法律责任保护范围。

目前遇到的问题主要在时效性和范围上，政府主要关注军事以及政府网络，同时时效性有待提高。

5. 随着安全行业在全球范围内短缺约300万网络安全专业人员的困境中，多样性已成为CISO解决的严重问题，因为女性和少数群体要么迅速离开该行业，要么就不再对此感兴趣。 您认为我们可以通过哪些方式解决安全行业内的多样性问题？

答： 多样性以及包容对于公司整体业务战略十分重要。人才缺口可以通过两方面改进，一是在很早的时候提供支持，二是不断的创造兴趣。