企业安全主管“翻车“的十个“软伤”
|
工部的数据是平均 4.2 年)。这些离职的 CISO 中,相当一部分 “翻车” 的原因并非是成了重大数据泄露事故的背锅侠,而是因为日常管理方面存在 “软伤“。 以下,我们总结了企业信息安全主管和CISO半路翻车的十大常见原因: 1. 不能用管理层能理解的方式说话 网络安全现在是董事会级别的议程项目,董事会成员和整个公司高层都希望 CISO 对企业安全态势的强项、弱点、改进计划以及所有这些措施如何匹配企业的总体战略发表建议。Parkview Health 信息安全副总裁兼 CISO,卡内基梅隆大学亨氏信息系统与公共政策学院副教授 Darrell Keeling 说,许多 CISO 通过一系列技术职位升任该职位,还没有准备好发表董事会期望的战略级演讲。 他们没有得到指导或训练,无法与组织的高层对话。 结果,一些 CISO 很难以董事会期望的,以战略业务为重点的术语来提出与安全相关的问题,从而使董事会对安全主管的印象不佳。一些 CISO 干脆选择让 CIO,CTO 或其他高管代表代为出席,这进一步增加了董事会和 CISO 之间的疏远感。而事故发生时,人们常常会抱怨 CISO 对董事会而言并不透明。 2. 报喜不报忧 在 CISO 与公司管理层和董事会沟通时,一个常见的问题就是 CISO 倾向掩饰问题,仅向董事会展示积极指标。一些 CISO 之所以这样做,是因为他们不希望流露出无力感,或者错误地认为挑战已超出了董事会的讨论(理解)范围。 无论出于何种原因,CISO 都会执迷于 '我不能告诉董事会,至少不能让他们知道… 但是董事会很少会被糊弄过去。 虽然可能并不是安全专家,但董事会成员知道企业信息安全问题比一堆绿色小指标看上去更加复杂。而且,他们很可能会对在交付报告时无法做到开诚布公和透明的 CISO 失去信心。董事会不想被告知一切都很棒。CISO必须能够告诉他们企业的实际情况,必须对他们进行诚实的评估,并给他们信心,拿出一个切实的推进计划。
3. 给老板“惊喜” (编辑:淮安站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
