大型数据泄露事件,可导致CISO甚至是CEO失去工作。但千里之堤毁于蚁穴,一些不甚明显的纰漏,也能带来严重后果。以下5种情况,CISO需要关注并小心。
1. 重点工作只放在防护上
正如最近的Equifax和雅虎数据泄露呈现的,数据泄露可为公司企业带来严重的信誉伤害。在这种情况下,如果能证明CISO疏于安装最新补丁,或没在数据中心、远程办公室及网络边界上安装恰当的防火墙,没能更新企业的数据环境以应对最新威胁,那么,CISO被炒基本是注定的。
遭遇历史性安全事件,导致重大经济损失和大量负面宣传,这时候炒掉CISO很大程度上是出于公关考虑,公司必须向公众表明他们在采取行动。其他情况,就是CISO确实玩忽职守,准备不足了。他们没有坚实的响应及恢复计划,一个本可以限制不良影响的计划。CISO将重点只放在防护上的情况太常见了。
数据泄露通常导致最高调的解雇,因为数据泄露总是登上新闻头条,且会影响到很多人。公司里,CISO应对每一个自己雇来的人负责。因此,即便数据泄露并非CISO的直接责任,其任职合约往往也会被终止。
2. 担责任却没沟通
认为公司所有风险决策都是自己责任的CISO,基本上等于将自己的工作置于风险之中。这种情况下,CISO会站在安全、风险和合规的角度,定义公司哪些事能做,哪些事不能忍,而不是作为沟通促进者让决策层行使决策责任。
太多安全高管认为自己肩上扛着整个公司,导致技术知识超越了业务领域。因此,他们根本不沟通风险,实际上抑制了管理层决策风险管理投入的能力。
CISO必须能够向不熟悉安全的董事或高管清晰地解释风险和安全解决方案,以便他们能在风险耐受上做出明智决策。这么做,可以让CISO卸下独力承担任何安全漏洞的重担。
CISO必须与整个公司所有部门协作,才可以推行有效的安全策略。CISO与高级领导层和公司其他部门成员有效沟通的能力,是十分关键的。缺乏有效沟通,不仅仅会导致CISO领导下的团队效率低下,还会影响到邻近部门的表现。
3. 合规失败
基于公司性质和需要保护的数据,CISO必须履行合规职责,遵从国家政策和法律。很多公司甚至在竞价投标、提供服务或供货上都必须遵守合规监管义务。只要没通过合规认证,公司的销售基础就会受到动摇。
如果没能维持合规状态,且被内部或外部审计员找到了较大合规空白,预算外的非预期修复开销,就会让公司陷入修补去年疏漏的泥潭,而不是用于构筑更好的未来。这一旋涡会越来越难以逃离。
合规,尤其是在网际互连数据共享的数字时代合规,是非常重要的头等大事。随着时间推移,合规规定正变得越来越严格、复杂和繁多。
各种规定随行业、地区、国家及其他因素而有所不同,合规责任通常落在CISO及其他安全和IT主管身上,他们要与内部律师或外部法律专家合作,确保自家公司符合各种法律法规。
4. 非职业行为
与其他职能角色类似,被炒,也可能源于CISO的非职业行为,甚至是CISO直属的下属的非职业行为,也会成为CISO被炒的导火索。如果CISO未能纠正不恰当行为,比如性骚扰,就可能导致CISO职业生涯的终结。
非职业行为还包括在社交媒体上发表不恰当言论。CISO是公司里可见度颇高的成员,公开发表意见需谨慎。CISO发表的任何争议性观点,可能对公司造成负面影响,导致CISO自身被解雇。
5. 系统恢复时间
时间就是金钱。系统、网络和设备连接会受到宕机的影响。如果宕机时间持续很久,损失的金钱会是天文数字。宕机会造成业务中断、降低员工生产力,对公司业务合作伙伴、客户和供应商产生负面影响。
任何持续较久的安全故障,同时也是公关噩梦和对公司信誉的重大打击,会造成业务流失。可用性与正常在线时间,应受到全面细致的备份和灾难恢复计划支持,该计划还包括有内部运营水平协议,指定了任何服务中断发生时的一系列指令。
每家公司都应有灾难恢复计划,包含有供应商、云和第三方服务提供商的联系人详细信息。在供应商、云和第三方服务提供商响应、遏制安全事件并追踪黑客的时间上,合同中有何规定,也是CISO应该知道的内容。
