聘请物联网世界最佳 CISO 的四个步骤

在塑造下一波数字化转型的所有新技术过程中，物联网 (IoT) 最为突出。正如 Syniverse 的高级副总裁兼首席安全和风险官 Phil Celestini 据报道，这项技术正在催生一个由互连网络和数据交易组成的新生态系统，该生态系统正在迅速扩展并重新定义我们的业务经营方式。

但经常被忽视的是，物联网也是共享服务和数据的互联网。对于希望将其业务与物联网集成的公司而言，这一事实是最大的挑战之一，同时确保解决攻击媒介和相关风险。这些防御涉及由首席信息安全官 (CISO) 领导的各种技能组合和团队。

事实上，从风险的角度来看，公共互联网从来没有被设计成一个安全的环境。它被设想为一个具有内置冗余的网络，供学者和研究人员共享数据，而不是保护对数据的访问。因此，它更像是一个尽力而为的网络，而不是确保交易的机密性、完整性和可用性所需的一流网络。由于物联网的前提是建立在连通性之上，因此破坏这种连通性的恶意攻击有可能造成前所未有的破坏。拥有合适的领导来推动您的信息安全团队在抵御此类破坏方面取得成功至关重要。

考虑到这一点，企业必须在保持安全和利用创新以利用物联网等先进技术之间取得适当的平衡。其中一个关键部分是选择最好的 CISO，我几个月前做了这件事，并取得了巨大的成功。以下是我在评估 CISO 职位候选人时考虑的四个因素，基于超过 35 年的高风险运营经验，以及监督企业、联邦调查局、情报界和军队安全各个方面的经验。

聘请 CISO 的 4 个因素

• 安全是标题，但不会是唯一的工作： 安全应该被视为需要在您的企业中作为一项业务运营的服务。这意味着 CISO 需要了解其公司的战略、业务目标和风险，才能真正提供价值。此外，还有一些基准、最佳实践和法规将规定如何保护信息技术和数据。在这方面，CISO 可以提供安全和市场洞察力，销售和营销团队可以利用这些洞察力来创建有关安全态势的强大企业故事，从而使您的公司在竞争中脱颖而出。
• 首席信息安全官应与最高管理层公开沟通： 安全文化受到组织如何协调和报告结构等因素的支持。当谈到企业风险时，CISO 应尽可能直接向最高管理层报告。根据组织的规模和成熟度会有所不同，但与 CEO 的接触越近，“过滤”的关键对话就越少。 CISO 需要提升到最高层的基于风险的决策有时很难与高级领导沟通，因为这些决策会影响其他利益相关者，而且很少在真空中发生。
• “安全”范围扩大： 二十年前，在“安全”意味着让 IT 人员管理防火墙的组织中工作很常见。但是市场动态和消费者需求已经影响了企业的运营方式并推动了对专业信息安全人员的需求。今天，法规、法律要求和客户需求等外部因素推动了对强大安全性的需求，只是为了维持业务。首席信息安全官应该掌握这些知识和正确的预算，使他们能够在其业务财务和目标的现实背景下定义安全策略。
• 最好的 CISO 是最好的学生： CISO 需要技术娴熟、强有力的领导者和精明的业务经理。 CISO 的角色是一段旅程，优秀的 CISO 必须是终身学习者。随着技术的发展，该行业永远不会停止发展，这意味着威胁媒介将继续变得更加复杂，数据隐私法和许多其他影响 CISO 角色的外部“影响者”也将如此。这产生了不断维护和更新知识的需求，以遵守良好的风险管理实践。

依赖公共互联网的物联网设备和应用程序的快速增长正在开启连接和脆弱性的新时代。当企业抓住这个时代的机遇时，他们冒着将商业数据和系统暴露在从未用于此目的的公共互联网上的风险。

最终，想要以确定性、安全性和隐私性开展业务和传输数据的公司必须制定安全策略来保护其运营免受公共互联网的影响，而该策略的一个关键部分涉及寻找合适的 CISO。此处的四个因素为通知此过程提供了有用的基础。

关于作者

作者是 Syniverse 的高级副总裁兼首席安全和风险官 Phil Celestini。