你必须能够全面地看到它,才能全面地保护它。
1. 在你最终走上CISO这条道路之前,有没有任何技能或时刻定义或塑造了你的职业生涯?
Helen Patton:所以我总是想去思考过程,
思考我们做事情的方式和原因。在业务连续性、灾难恢复规划方面尤其如此,因为你会涉及到这个业务单元或者这个功能的问题,而不是其他功能?为什么这个比那个更重要?你如何量化某些东西比其他东西更重要?然后从战术上来看待事物,例如:好吧,假设我们想恢复工资单,那么你必须了解工资单的端到端流程、所有接触它的人员、所有外部和内部公司在决定支付给某人多少钱、如何支付某人以及何时支付某人等方面所扮演的角色。你必须能够全面地看待它,并且保护它需要从端到端进行。具有这种高层次流程视图真正对我的安全角度非常有帮助。所以我们谈论安全防御深度,在安全领域中没有一个控制可以依赖于保证您的保护或弹性。因此能够观察整个环境、所有层次上事物运作方式以及可能应用控件的所有层次是一项非常有用的技能。无论使用哪种技术都可以应用这些技能;我仍然必须了解技术才能智能地应用这些东西。但是,为了在这些领域中发挥作用,我不必完全深入技术。那是一项技能。
我认为另一件对我来说相当容易的事情——而对其他人来说则不太容易——就是以非安全方式与非安全人员谈论安全问题的能力。老实说,我想起最初从业务连续性方面开始做到这点,因为你必须能够与业务交流。例如:我们曾经在公司进行桌面演习,在与业务人员交流时,我们问道:“你们使用什么样的技术?”他们回答:“嗯,我们使用帮助台。” 我说,“好吧,请问您为什么要使用帮助台?”“因为当我的电脑出现问题时那里有一个电话号码可以打。” 就他们而言,“tech”就是指帮助台。事实上帮助台随后将其移交给网络团队、服务器团队、应用程序团队或其他团队等并没有成为商业词汇表中的一部分。所以如果我出现并说:“您需要哪种服务支持?”,他们只会回答“没有”,因为它不属于他们的思维方式。因此,能够确定人们如何构建自己的世界,并能够说:“这就是安全如何帮助该框架”,这是一种技能。它是您随着时间学习到的,您不能去大学里学习它。
2. 你认为在企业中真正培养安全文化的重要因素是什么?
Helen Patton:我认为在文化方面,实际上你必须从高层开始。因此,当我着手进行新的安全计划时,其中一件我早期评估的事情是——甚至从面试过程开始——领导层如何考虑安全问题?我不希望领导层对安全计划进行微观管理。坦率地说,这是我的工作,确保安全计划运行良好。但了解他们是否考虑到了安全问题以及如果他们考虑到了该如何思考安全问题,则非常重要。而且知道有领导支持安全计划也非常重要。所以肯定要从高层开始入手。但是关于安全性的悖论在于,在每个前线组织中都需要有安全倡导和使能力量存在。因此,您可以制定流程来鼓励人们以一种更加安全的方式做事情,并且这也必须成为其中的一部分。但归根结底,在某些岗位上总会有人处于决策风险位置上(即基于其工作职责做出与信息技术相关联的风险决策)。如果您没有机会让他们思考到信息技术方面的 安 全性 ,那么他们就不会以更加安全的方式思考和行动。因此,您必须拥有一个关于安全意识的安全计划——我不会说培训,因为我不是在谈论如何教人们如何使用技术保持安全性,尽管这也可以成为其中一部分——但您需要一个意识计划,在人们进行任何活动时都要考虑到 安 全问题。您需要高层支持来获得资源以实现这些目标。无论领导层正在谈论什么话题,他们都需要以能够促进安全倡导的方式进行交流。你需要所有这些东西,并且你需要资源能够接触到人们所在的位置。特别是如果你只有很少数量的安全部门或者很少数量负责宣传方面工作的员工,则扩展规模非常困难。因此,你几乎必须在组织内部集体推广安全倡议,否则就无法将信息传达给那些最需要了解情况并采取措施的人员。
业界有一种倾向认为,如果你拥有更大的公司和更多的资金,就可以更快地实现文化变革。但我发现事实恰恰相反。
1. 关于能够扩展的问题,您是否发现不同组织在建立安全文化方面有不同的时间表,这取决于所处的行业或其他因素?
Helen Patton:我有一个导师曾经对我说过,而且我也基本上同意这个观点——建立一种文化需要多长时间,改变它就需要多长时间。所以如果你进入的是一个初创组织,并且你在那里从头开始构建文化,那么你可以从一开始就建立起这种文化。但如果你进入的是一个有150年历史的组织,那么就会有150年的文化要去调整和改变。这可能需要更长的时间。因此,在行业中存在一种倾向认为,如果公司规模更大、资金更充足,则可以更快地实现文化转型。但事实上我发现相反情况才是真正的:小型公司和中型公司往往具有较强的文化波动性,它们更容易受到影响并进行文化转变;而服务时间较长的机构则不太容易发生变革。这可能需要很长时间。
当我作为CISO加入俄亥俄州立大学时,我原本打算待三年左右。结果却呆了八年之久。其中一个原因是,在三年内虽然我们推出了一些技术项目等方面取得了成果,但在塑造企业文化方面还没有做好准备工作。同时我非常喜欢在高等教育领域和俄亥俄州立大学工作,这也是我留下来的原因之一。但另一个原因则是我们需要进行一些文化上的改变。
此外,有些公司受到高度监管,他们认为自己非常注重安全,因为他们受到了监管。但我发现那些将安全视为合规问题的组织往往更难以转型。你需要改变这种想法:安全不仅仅是合规问题,更是风险问题。所以你如何应对安全事件、如何回答安全相关问题都取决于你看待它的角度。如果你进入一个认为自己已经足够安全只因其符合标准要求的组织中,则这几乎就像养成了一种坏习惯需要去纠正而不是去培养好习惯。在开始营造良好习惯之前必须先消除坏习惯。
总之,实现文化转型可能需要相当长时间。。
2. 当你与一个非常专注于合规或者固执己见的公司交谈时,这些对话会如何进行?你如何克服这个挑战?
Helen Patton:你不能只是告诉别人要更加注意风险和安全,你必须向他们展示这样做的好处。所以在员工意识和教育方面,我们往往会向他们提供合规培训,告诉他们如何报告事件、不要点击链接等等。但研究数据表明,更成功的方法是与他们谈论如何利用技术保护家庭,并说明在家中保持安全对他们有什么帮助。这些习惯也会随着他们进入办公室而延续下去。因此,了解员工关心什么以及安全如何帮助实现这些目标非常重要。我不能只是告诉他们,我必须向他们展示应该怎么做。例如,在给开发人员提供代码扫描工具时可以说得再多一点,但如果只有这些还不足以建立起支持者群体。如果我能向开发人员证明通过使用扫描工具可以减少后期修复问题的时间成本,则开发人员就会自行进行扫描并且积极主动地参与其中。当然了解每个团队的需求需要花费大量时间进行一对一交流沟通, 但这正是必须完成的任务.
但是安全领导肯定面临着压力,需要能够理解业务驱动因素,并与组织中的业务领导合作,使用商业语言并将安全计划与商业目标对齐,而不是技术目标。
1. 我想那里有很多不同的活动部分。
Helen Patton:它会随着时间的推移而发生,就像试图这样做的安全团队必须得到信任一样。因此,它们不能被埋没在技术组织的内部,因为它们被认为过于可操作性。因此,你必须拥有适当水平的团队,并在这些团队中拥有正确的技能组合。这些人必须被视为值得信赖的顾问和合作伙伴,而不是服务提供商,而是业务其他领域的合作伙伴。这也可能需要一些改变才能实现。
2. 您认为CISO的工作职责或在组织内部的角色定位,随着时间推移有何变化?
Helen Patton:它确实已经发展了。它最初来自IT领域,被视为IT的子集,在许多组织中仍然被视为IT的子集,并且CISO向CIO或CTO汇报并不罕见。但是安全领导层肯定面临着压力,要能够理解业务驱动因素,并能够与组织中的业务领导合作,使用商业语言谈论和将安全计划与商业目标对齐,而不是技术目标。话虽如此,安全领导者通常没有包括在高级领导者非常独特的俱乐部中。然后高级领导者会感到沮丧,认为CISO不知道如何用他们的语言交流。因此我们仍需要高级领导人和董事会成员邀请和鼓励安全管理层加入到团队中来。这甚至可以不是正式报告线路, 只需参加战略会议、规划会议等, 谈论企业结果时也应该在场. 这样他们就可以谈论他们的安全计划并正确地对其进行调整. 因此,在成熟方面我们已经迈出了一些步伐, 但还有很长的路要走. 我们应该期望高级领导者也学习更多关于安全的知识。因此,现在我们仍处于这样一个阶段:CISO需要了解更多有关业务的信息,CISO需要能够用商业术语交流。但是,如果您是一家公司的CEO,则无论您所在行业如何,都是一家技术公司,并且与该技术相关联存在风险。因此我不知道你怎么可能成为任何组织的高级领导者而不希望被要求了解基本的安全事项。然而,我们目前面临着这样一种情况,在那里有很多公司领导层只知道如何打开他们的手机, 除此之外就什么都不懂. 如果他们不知道这个, 那么他们怎么能与安全负责人进行智能化的安全风险对话呢?因此我们需要让高级管理层了解如何思考系统性安全风险问题, 而我们还没有完全做到. 这也必须发生.。
问题是,我们是否正在建立安全计划?并且我们是否以这样的方式运行安全性,以便能够应对和恢复任何威胁?
1. 你有什么最重要的安全问题吗?
Helen Patton:有很多安全人员会谈论威胁,而且总会有威胁存在。如果不是勒索软件,就会是其他什么东西。问题在于,我们是否正在建立安全计划?并且我们是否以这样的方式运行安全性能够应对和恢复任何威胁呢?因此,我们可以谈论人工智能、量子或其他将改变我们工作方式的新兴技术。但对我来说,我们仍然没有做好基础工作。例如资产管理方面确实存在困难,并非一个安全问题而是IT问题;但如果不知道自己拥有哪些资产,则保护它们就非常困难了。这与技术资产无关,更多地涉及到数据存放位置:可能在笔记本电脑上、数据中心服务器上、云服务提供商那里或第三方/第四方/第五方等处;而这些数据都由我们负责保护。因此,在确定数据所在位置并确保其安全性方面的资产管理对每个人来说都具有挑战性。
另外一点是漏洞管理也变得更加困难了,因为如果你不知道你的数据存放位置,则无法确定哪些地方容易出现漏洞。所以还需要解决一些问题。我认为身份验证对许多组织来说仍然是一个大问题,这包括如何在员工、客户或供应商获取系统访问权限时进行入职管理、管理和离职处理等方面。但它也涉及到其他一些问题,例如他们是否具有正确的访问权限以便在适当的时间和地点完成工作,并且安全性不会妨碍他们的工作方式;同时,他们所拥有的访问权限是否适合其工作内容和数据类型。因此,在确定哪些是适当的方面存在很多变量。这并不仅限于Helen是否是公司员工,还包括应用程序、数据类型、时间段、位置等所有因素都影响着是否授权访问。这真的非常复杂。因此,身份验证对我们来说仍然是个难题。所以,请忘记那些新奇产品吧!漏洞管理、资产管理和身份验证管理才是我们尚未解决好的问题!
原文链接: https://duo.com/decipher/q-and-a-helen-patton 如有侵权,请及时联系本人删除
