首席安全官
出自 MBA智库百科(https://wiki.mbalib.com/)
首席安全官(Chief Security Officer,簡稱CSO)
CSO也可以被稱為CISO(首席信息安全官,Chief Information Security Officer的縮寫)或者ISO(信息安全官,Information Security Officer的縮寫),這是有別於CIO(首席信息官,Chief Information Officer的縮寫)的獨特之處。
目錄 |
首席安全官(CSO)負責整個機構的安全運行狀態,既包括物理安全又包括數字信息安全。CSO負責監控、協調公司內部的安全工作,包括信息技術、人力資源、通信、合規性、設備管理以及其他組織,CSO還要負責制訂安全措施和安全標準。CSO需要經常舉辦或參加相關領域的活動,如參與跟業務連續性、損失預防、詐騙預防和保護隱私等相關議題的活動。
首席信息安全官即CISO,負責整個機構的安全策略。首席信息安全官需要經常要向CIO(首席信息官)彙報,有時甚至直接向CEO(首席執行官)進行彙報。
然而在現實生活中,首席安全官和首席信息安全官的角色經常是交互的。
因為各種因素促使各種安全問題糾集在一起,需要由一個單獨組織進行統一保護,從業產生了CSO這個角色。因素包括一下幾種:
在戰術層面上,技術要素正在被註入到物理安全工具中,並且這些工具不斷被資料庫技術和網路技術所驅動。
在戰略層面上,CEO和公司董事會根據一些法規,如薩班斯﹒奧克斯利法案,從企業高度對風險進行控制。
在實際操作層面上,CSO統一管理安全問題,可以顯著降低運營成本。
安全策略通常需要根據企業的不同需求而有所改變,儘管不同的企業需要不同的安全策略,不過安全策略通常都必須包括以下職能:
1、對安全機構和服務提供商進行監控,由服務提供商負責保護企業資產、知識產權和電腦系統安全。
2、確定保護目標和保護制度與公司的戰略計劃保持一致。
3、制訂及執行區域以及全球的安全政策、安全標準、指導方針和執行程式,以保證持續解決安全問題。信息保護職責包括:網路安全結構、網路訪問和政策監控以及員工培訓等等。
4、像調查安全缺口那樣全面監控事件響應計劃,如有必要必須幫助安全缺口部門完善培訓計劃和法律方面的事宜。
5、像獨立安全審計顧問那樣,與外部安全顧問一起工作。
6、制訂全面的風險管理策略,並確保策略的執行。瞭解當前以及未來可能存在的風險,並且在必要時根據風險和威脅的變化及時調整策略。
7、全面監控產品的內部使用,並且確保工程小組與操作小組保持溝通,在產品出現問題時以便及時發現並解決問題。
8、進一步完善災難恢復/業務連續性策略,通過每一個業務單元的共同努力,確保我們擁有一個整合性良好的計劃和策略。
9、物理安全責任應該包括資產保護、工作場所危險防護、訪問控制系統以及視頻監控措施等。
首席安全官的工作職責主要有:
1、從提高受眾意識水平和瞭解受眾想法入手,提高企業在區域及全球的安全狀況視。
2、把提供安全作為一種資源和檢查手段,不要因此而影響到企業的正常運轉。
3、起動能夠對整體的企業產生巨大影響的關鍵項目。
4、通過考慮企業的優先等級、資產和GAP分析,確定企業整體風險和安全計劃的範圍。
5、避免安全問題成為阻礙企業內部生產力發展的瓶頸。
CSO要避免犯以下的錯誤:
1、認為安全問題僅僅是技術問題
2、試圖將巨集觀問題與微觀問題作對比
3、猜測用戶對安全問題感興趣
4、猜測用戶對安全問題很瞭解
從上述CSO的職責說明來看,他在企業中發揮著舉足輕重的作用,因此對CSO任職資格的要求也需要與其職責相匹配。
- 他必須是個理智、擅長表達、有說服能力的領導者,作為公司高層管理團隊的有效成員,能勝任這一職位。能夠就安全相關的概念進行廣泛的交流和溝通,包括與技術和非技術各類人員。
- 具備商業計劃、賬目檢查及風險管理的工作經驗,還包括合同及商務談判。
- 具備一定的法律背景,充分理解信息技術和信息安全,包括防火牆、VPNs、入侵監測以及其他安全設備。
管理能力。CSO要設計安全機制,制訂安全規則,要和公司的管理層溝通,為什麼需要這樣的安全方案,他的管理能力要讓他決定的事能做到。
安全機制包括防火牆、IDS、IPS如何部署等問題。針對網路上的漏洞、黑客攻擊的手段,CSO要制訂安全規則,使公司的各部門主管瞭解到需要做什麼事情,並定期檢查,對各部門的安全進行評估。
比如銀行的線上交易業務,該業務的價格和新聞信息來自於別家的公司,銀行要及時地拿到這樣的信息,就需要連接到許多不同的第三方公司。同時,銀行也要把交易平臺公開對外,讓用戶登錄進來,看價格,買賣股票。這樣的業務很複雜,牽扯到對外、第三方和內部的重要資料,需要考慮的安全問題很多。
從第三方得到新聞,只能讓對方傳送新聞進來,不能有銀行的內部資料讓第三方得到,控制是單方面的,中間不能有差錯。如果讓黑客混進來,登了一個假新聞,市場就會受到嚴重影響。保證第三方的資料沒有被改過,保證第三方的傳送沒有被中斷,不只是技術上的問題。如果單純從技術上考慮安全,那往往是不安全的。
對外,就牽扯到怎麼控制用戶,這需要制訂一些規則。比如一個用戶打錯三次密碼,就不能登錄了,需要通過其它方式的認證才可以重新登錄。這些規則不只是對外的,也是對內的。當用戶進來後,是不是要有IPS和防火牆來防黑客,網路伺服器是不是需要備份等都需要考慮。
對於銀行的資料庫,管理人員是不可以看到用戶個人資料的,他只能管理資料庫。資料庫和網路伺服器中間是不是需要加一些安全機制,怎麼樣去做認證保證用戶資料的安全等,制訂這些規則其實是很難的。
CSO還要懂技術。當然,技術上的要求並不是很強,但CSO必須知道目前新的漏洞、新的攻擊是什麼,用什麼方式可以去防護,怎麼樣達到安全的要求。
比如一個企業要購買防火牆,CSO不僅要知道為什麼要裝防火牆,而且要知道怎麼裝,如何把網路伺服器、郵件伺服器集中在一個區域並與內部區域分開,以確保公司的內部區域受到保護。
現在開始流行IPS了,CSO就要知道怎麼用IPS,放在什麼部位,哪幾個網路是非常重要的,不能讓黑客進去,這些都是技術上必須要知道的。
CSO要有全面性的知識,要瞭解公司的運作,要具備法律上的知識。
比如銀行的CSO,銀行每個部門的安全需求都不一樣,CSO必須要有很好的知識去瞭解。知識不是光指技術,他要瞭解具體部門是如何運作的,並用他的技術能力保證各部門的安全。CSO還要有法律上的知識,銀行的每個部門牽扯到的法律也不一樣,所以他也需要這樣的知識。
