CIO在加強網絡安全方面的作用

作為首席信息官，你為支持網絡安全所做的努力至關重要。

由于對技術的廣泛依賴、遠程工作呈指數級增長、現代網絡的復雜性以及高級威脅的擴散，組織安全性比以往任何時候都更具挑戰性。這也意味著，在確保安全性方面，企業面臨著更大壓力。

當整體業務彈性屬于你作為首席信息官的領域時，管理所有必要的任務以創建強大的網絡安全似乎是不可能完成的任務。如果你身邊沒有所有合適的人員，這些挑戰尤其明顯。

作為企業的 IT 領導者，你不希望過度承諾或作出保證一切安全。但是，你需要解決企業如何提高安全性以及檢查和平衡系統的問題，以確保你正在采取必要的措施，以最大程度地減少安全事件的影響。

這里的復雜的因素是，與大多數首席信息官一樣，你的角色可能并不簡單，尤其是在涉及安全監督時。

為什么在網絡安全中首席信息官的作用如此復雜

現在的首席信息官可以迎接新的機會，但他們也面臨著各種新挑戰。有些挑戰是技術性；有些挑戰是運營方面。但很多挑戰（可以說是大多數）都與人和政策有關，而這些挑戰并不是那么容易解決。

很多時候，首席信息官必須解決每一個IT舉措。但是，一次嘗試太多復雜項目可能會分散注意力，從而使安全措施失效。雖然安全要求通常是項目討論的一部分，但很少建立真正的彈性。只是因為沒有足夠的資源來使這一切順利進行。

對于加強安全性，進一步加劇挑戰的是，首席信息官必須執行一種很少有人理解或欣賞的獨特平衡行為。與其他涉及安全的高管（例如CISO 或首席風險官）相比，CIO 必須讓 IT 工作，同時也讓安全工作。

而IT 和安全性可能不一致。

例如，CISO 具有關鍵待辦事項，例如實施新的補丁管理系統或新的安全事件和事件管理系統。首席信息安全官可以只專注于提高安全性。

但是，當首席信息官有關鍵的待辦事項時，例如升級ERP系統或部署面向客戶的新應用程序，他們必須在特定的業務需求與技術和安全要求之間取得平衡。這些變量會使整體工作變得更加復雜。

我親眼看到首席執行官和其他商業領導者并不完全理解首席信息官所面對的是什么。他們需要理解并欣賞首席信息官為使IT既實用又安全所做的努力。這種缺乏同理心會很快演變成更嚴重的事情。例如，首席信息官可能無法獲得財務和政策支持，以確保適當的安全控制和監督。

創建一個集成的、運作良好且安全的企業技術生態系統需要解決技術問題，并培養軟技能。如果首席信息官所要做的只是解決技術問題，那么他們的壓力最小，安全性最高。然而，同時平衡人員和業務因素有時候會改變這種情況。圍繞首席信息官在公司中的角色的很多誤解來自溝通不暢和缺乏牢固的關系。只要CIO與CISO的關系不佳，或者其他業務主管和利益相關者的安全支持和愿景不足，我們就能看到這個問題的發生。

首席信息官的企業網絡安全職責

運行良好的 IT 環境和靈活安全計劃最關鍵的方面之一是確保首席信息官和首席信息安全官都了解最高領導層對他們的安全期望。以下是 CIO 安全職責方面的監督示例：

1. 安裝并監督內部技術控制所需的適當技術。 這項職責需要設計、實施和持續支持，以幫助現有的安全政策和程序以及其他潛在的機會領域。
2. 在安全或企業風險管理委員會任職。 此職責要求提供 IT 基礎結構和與業務相關的見解，以了解安全和合規性團隊識別的風險，以及當前和未來的 IT 計劃如何幫助支持持續的安全要求。
3. 協助事件響應工作。此事件響應職責涉及與安全和法律團隊密切合作，以適當響應安全事件并從中恢復。
4. 確保企業始終嵌入安全控制。 這項職責需要了解已知和潛在的風險，并加強與其他高管的關系，以彌合業務和安全之間的差距。
5. 監控供應商的適當網絡安全控制。 這項職責要求接收和審查現有和未來與IT相關的供應商的安全調查問卷或類似的供應商管理工作。
6. 這些潛在的職責是示例，因為首席信息官與首席信息安全官的職權范圍取決于企業的具體需求。在上述部分或全部工作中，首席信息官和首席信息安全官之間可能存在重疊。分工取決于為公司發展方向、人才儲備情況和一般偏好。
7. 重要的是：首席信息官和首席信息安全官必須建立合作伙伴關系，討論每個角色的范圍并記錄期望。

首席信息官的關系是網絡安全的關鍵

如果你是一名首席信息官，你需要負責最大限度地提高安全成果，同時確保項目得到實施，一切“正常”，請專注于加強與那些可以幫助你的人的工作關系。那可能是首席信息安全官，也可以是首席運營官、首席財務官或企業風險管理團隊的其他成員，例如首席法律顧問。

安全性是關于長期獲得和維持支持，對于那些需要幫助理解安全的人來說，這是關鍵。

作為尋求獲得安全支持并幫助履行職責的首席信息官，應分擔與安全威脅和漏洞相關的有形業務風險。無論這些問題是技術問題還是操作問題，都要具體說明它們如何給企業帶來風險。

接下來，提出針對每種風險的潛在應對措施，并征求高管同行的反饋，了解什么對他們最有意義。避免用太多細節讓他們超負荷，因為你認為這是他們想聽到的。請記住，每個人都有特定于其角色的優先事項和挑戰。你的優先事項肯定不會是他們的。

相反，詢問他們需要什么才能做出明智的決定。就是這樣，問問他們。你會進行一些良好的交談，并可能從談話中獲得一些好主意。

對于很多 IT 專業人員來說，溝通可能是一項艱巨的任務。但是，示弱和向他人尋求幫助是培養牢固關系、產生新想法和解決重大業務問題的最佳方法。此外，在 IT 之外工作的人員通常可以為技術挑戰帶來全新的視角。

很多人認為信息安全（infosec）和網絡安全是IT需要解決的問題，但安全應該是跨部門的集體努力。與財務、運營和人力資源類似，信息安全幾乎涉及業務的各個方面。你可能聽說過，CIO 必須在比創建問題時更高的級別解決問題。這就是任務。

專注于溝通和培養關系，以便其他人可以幫助你（首席信息官）解決這些業務挑戰。