翻译整理自放之,以下回答部分的内容皆为概述。具体可参见原文,原文点击此处 。另可通过linkedin了解关于 Kevin Gowen 履历的详细内容。
1. 您认为政府,企业和安全行业在过去一年中为提高国家网络安全标准而采取的最重要的积极措施是什么?
答: 首先,网路安全意识提高了许多。其次围绕网络安全的交流和对话得到了改善。CISO普遍支持协作,共享和推动网络安全进步。第三是,从政府角度来看,我们拥有了更多的透明度。无论是司法部,联邦调查局,特勤局,以及各种联邦机构在这些方面改善了很多。
2. 在GDPR发布后,由于各种广泛宣传的数据泄露和丑闻,隐私已成为美国越来越关注的问题。 您如何看待国家数据隐私政策的转变可能会影响CISO的发展?
答: Kevin本身在Synovus,既负责信息安全也负责隐私相关。隐私和安全之间的交集愈发清溪。目前存在着错综复杂的州级法规。标准,触发条件,时限和要求都不尽相同。CISO必须花费大量的时间去了解这些法规。另一方面比较难以界定的问题是,关于隐私和个人信息。作为消费者和企业,技术和工具用到了哪些个人信息,允许使用哪些信息,支持哪种类型的信息共享?我对自己的数据具有怎么样的控制权? 我该怎么防止公司出售我的个人数据?等等,很难界定。但是数据隐私是必然要做的一件事情。
3. 您认为哪些方式可以改进公私网络间的威胁情报共享,存在哪些障碍?
答: 纯粹的共享始终是一项挑战,目前政府机构在采取一些积极措施改善现状。ISAC,FS-ISAC。但这并不是信息共享的全部。这是一件需要双向努力的事情。
4. 在过去3-5年中,CISO的角色有何变化? 您如何看待未来五年的变化? 这些变化对CISO所需的技能意味着什么?
答: 最大的变化是公司会将网络安全风险视为主要风险之一。CISO不再是单一的技术人员,职责包括了更多的业务和风险管理角色,在组织中有着一定的话语权。但在和董事会的对话过程中,CISO不能使用技术术语,但同时又需要就脆弱性,风险,影响等因素以业务可以理解的方式进行交谈。CISO需要制定战略计划,以证明计划和业务保持一致。同时,CISO需要变得更好,让员工更加舒适。组件一支专注技术领域的团队。CISO专注于制定策略,与业务线互动。
5. 随着安全行业在全球范围内短缺约300万网络安全专业人员的困境中,多样性已成为CISO解决的严重问题,因为女性和少数群体要么迅速离开该行业,要么就不再对此感兴趣。 您认为我们可以通过哪些方式解决安全行业内的多样性问题?
答: 多样新很重要,我们承认缺乏人才。所以应该使行业中应聘者往多元化发展。聘请更多思想和经验各异的人。另外需要更早的和人们互动,在大学阶段开始推广等等。
