翻译整理自放之,以下回答部分的内容皆为概述。具体可参见原文,原文点击此处 。另可通过linkedin了解关于 Raj Badhwar 履历的详细内容。


1. 您认为政府,企业和安全行业在过去一年中为提高国家网络安全标准而采取的最重要的积极措施是什么?

答:  提到了NYDFS网络安全法规和GDPR,以及CCPA等出台的一些关于隐私的法案。以及政府针对电子邮件安全提出了一些强有力的约束。 技术上提到了TLS1.3标准等


2. 在过去3-5年中,CISO的角色有何变化? 您如何看待未来五年的变化? 这些变化对CISO所需的技能意味着什么?

答: Raj B认为过去的一些CISO多出自军工背景和政治背景。下一代CISO在了解法规和物理安全的基础上,可能也需要去了解一些安全工具,漏洞管理,APT,而以软件,威胁情报相关。去尝试各种新的方法 ,更加的技术化等等。希望安全工程师能做的事情,CISO也可以做到,不必尽善尽美,但能够了解以及沟通。 下一代CISO必须能够做到安全的知行合一,例如:

  • 积极制定网络安全政策和标准
  • 制定战略,增强基础安全
  • 增强用户培训交流
  • 主持定期的红蓝对抗,模拟威胁情况
  • 将风险进行量化
  • 及时和董事会更新状态,提出建议。

CISO必须真正的了解新兴技术,以及知道怎么样缓解威胁,以及引入新技术的同时引入的哪些威胁因素。以及多云环境中(公有云,私有云,混合云)中怎么样保护数据,系统和应用程序。


3. 您认为技术性的CISO怎么有效的和非技术的C级主管和董事会对话?

答:  技术CISO也可以适当的简化讨论,如果需要深入,可以经过适当的培训和知道,必要时在技术细节上述深入,不过事实上基本不会这样。


4. 在GDPR发布后,由于各种广泛宣传的数据泄露和丑闻,隐私已成为美国越来越关注的问题。 您如何看待国家数据隐私政策的转变可能会影响CISO的发展?

答:  人们通常认为数据安全在保护数据,版权之类,其实实在保护用户的隐私。GDPR的发布意味着需要和隐私部门进行更多的协作。与首席隐私官密切合作。同样,作为一名技术专家,需要通过实施完整细分的零信任,以及加密,权限认证等技术上来确保数据保密。但这并不是一步到位的事情,还需要确保适当的系统及安全控制措施到位。


5.  您觉得CISO和CPO怎么建立牢固的工作关系?

答:  协作和交流。取决于已有多少协作,如何进行交流,参加内部委员会。经常讨论相关的数据安全性和隐私性方面的问题。以确保了解现有的法规以及确保如何遵守。


6. 您认为哪些方式可以改进公私网络间的威胁情报共享,存在哪些障碍?

答:  每个公司经常构建自己的信息孤岛,缺乏共享。政府本身而言,其具有的信息使得非政府机构很难访问。这个问题的解决方案,创建由多个威胁情报平台共同组成的平台。


7. 随着安全行业在全球范围内短缺约300万网络安全专业人员的困境中,多样性已成为CISO解决的严重问题,因为女性和少数群体要么迅速离开该行业,要么就不再对此感兴趣。 您认为我们可以通过哪些方式解决安全行业内的多样性问题?

答: 安全行业多给人留下充满男子气概的印象,即充满了退伍军人,防卫,从事过警察之类的人。安全行业前途一片光明,多样化是一个使命。网络安全本身也是一个多元化的领域,包括合规,业务,技术等。另外在实际招聘时也更多的看对方对职业的兴趣。