Kirsten Davies面临着一项艰巨的任务:让她的公司的欧洲员工采用新的安全协议,而他们则担心这些协议会被用来监视自已。
Kirsten当时是HPE的副手CISO,他需要让公司的员工们掌握各种新的工具和政策,就在欧盟准备颁布通用数据保护条例(GDPR)的时候,该条例是一套全面的隐私规则。但是工人们担心安全工具会被公司用于监控,他们质疑安全工具的能力是否会侵犯他们自己的隐私。
为了解决这些问题,Davies走遍欧洲,会见工人委员会,阐述公司面临的风险和引进工具的重要性。她从德国开始,在那里,母语为英语的美国人Davies用她流利的德语来建立融洽的关系。
Davies解释说,其目标是让工人们理解新工具是如何保护他们和公司的,以及为什么他们如此关键。她成功了,与德国工人委员会签订了网络安全总协议,成为了HPE 20多个海外工人委员会类似协议的典范。
“这是有史以来的第一份网络安全协议,让我们双方都有了一份可信的协议,可以说我们正在合作保护公司,”Davies说。
Davies,现任雅诗兰黛公司的高级副总裁兼首席营销官,该公司是一家跨国美容产品品牌制造商和营销商,她说,2016年她在这些工人委员会的工作经历与安全职能部门的一项新职责不谋而合:说服各成员相信,在数据安全和隐私方面,他们可以信任组织及其领导人,让他们做正确的事。
“信任现在有点进化了,但人们期望与我们的交易是安全、稳定和真实的,”Davies说。
与首席信息官一样,首席信息官和他们的IT同行也经历了角色的演变,从专注于战术部署的管理职位转变为了参与战略的高管职位。现在,CISO的地位正在进一步演变,成为了一个需要让所有组织利益相关者--从客户和业务伙伴再到员工和董事会成员--都参与进来的角色,以建立信心,让人们相信,在网络安全的问题上,组织的最大利益都在考虑之中。
然而,这不仅仅是一个深奥的讨论或哲学练习:首席执行官们也相信,建立和保持与利益相关者的信任对于数字时代的成功至关重要。普华永道在其第21次全球首席执行官调查中发现,87%的全球首席执行官表示,他们正在投资网络安全,以建立与客户的信任。
信任似乎正在成为市场上的一个差异化因素。
“能够以合乎道德的方式使用数据、以应有的方式保护和管理数据的组织将获得实质性的竞争优势,”普华永道网络安全和隐私业务负责人Shawn Connors说。
信任的价值
普华永道警告高管们不要低估当今数字世界对信任的需求,也不要低估信任的价值。
普华永道在2018年秋季的报告<数字化信任之旅>中写道:“如果数字经济的命脉是数据,那么它的核心就是数字化的信任--对构建安全数字化世界的人、过程和技术的信心水平。”
当然,只要角色存在,CISO就将一直致力于保护其组织的系统及其包含的数据。企业高管和董事会成员早就期望CISO能够实现这些要素;甚至客户和业务伙伴也开始期待CISO能够将这些任务执行到可接受的水平。
不过,如今CISO也面临着越来越大的社会期望,来自Dallas的一名律师Benjamin Wright说。
“社会正在通过法律和实施规则,规定‘这就是我们期望你需要满足的复杂要求,如果你不满足这些要求并保证这些东西的安全,你将会受到惩罚。’”他说。
Wright说,因此,CISO的角色开始变得像首席财务官,整个安全职能部门在企业中的地位开始类似于法律部门,因为安全--像财务和法律一样--有超越其日常职责的义务。
“我并不是说安全团队需要像律师或注册会计师一样获得许可。然而,从历史上看,企业的确需要依赖那些法律和金融专业人士向他们提供专业建议,这些建议很有分量。“我相信,由于社会对企业提出的解决网络安全问题的要求,有许多大型企业正朝着网络安全团队的专业地位转移,”Wright说。“社会在说,大企业,你有责任保护个人身份信息和资源之类的东西,如果你不履行这一责任,就会受到惩罚。”
然而,Wright也指出,社会不一定会表现出对企业安全的盲目信任。他指出,一些法规会要求组织证明他们正在解决网络安全的需求,例如2017年纽约金融服务部对金融服务公司的网络安全要求。还有联邦贸易委员会2019年的决定,要求Facebook首席执行官Mark Zuckerberg亲自证明他的公司正在努力保护消费者隐私,这一要求源于联邦贸易委员会与Facebook就Cambridge Analytica丑闻中滥用客户数据达成的和解。
研究人员、顾问和CISO表示,他们并不期望所有组织都需要签署这样的声明,但他们确实期望将来可以有更多这样的规则。他们还同意,企业领导人必须向其利益相关者证明,他们正在努力保护IT系统及其包含的数据。
“信任会随着时间的推移而赢得,”Connors补充道,“只收集你需要的东西,根据要求终止它,保护它并合乎道德地使用它。”
培养信任
培养数字信任对许多人来说可能是一场斗争。
2018年数字转型指数是一项针对来自40多个国家的4600名企业领袖的调查,这些企业领袖来自Dell Technologies,英特尔和Vanson Bourne,调查发现,49%的人“担心他们的组织在5年内不会被证明是值得信赖的。”
调查还发现,91%的企业正面临着持续的数字化转换障碍,“数据隐私和安全问题是最主要的障碍,还有资源和技能的限制(第二和第三)以及监管和立法变化和不成熟的数字文化,这些是排在前五的挑战。
然而,Connors、Wright和其他人认为,CISO应该认识到他们有机会产生信任。
他们表示,CISO可以通过与他们的高管同事建立关系,将安全职能纳入战略讨论,并让董事会参与到他们所期望的业务条款中来,这是CISO在过去几年中一直听到的建议。
Wright说,从那里,CISO可以考虑如何在书面政策、内部信息甚至是公开声明中阐明他们对安全和隐私的努力,他指出,CISO现在不仅必须培养对其他高管和董事会的信任,还必须培养对普通员工、商业伙伴、消费者、监管机构和整个社会的信任。
Connors对此表示同意,他说:“数字信任的话题将会是一种越来越强烈的情绪。人们想和那些处理好数据的人做生意,而那些处理不好数据的人将必须面对某种程度的后果。”
此外,消费者也越来越多地询问组织将如何处理他们的数据、如何保护数据、在哪里使用数据以及为什么要共享数据。CISO最好将信息添加到响应此类查询的组织声明和策略中。
“不要只是告诉人们你有政策。他们想知道数据的去向。向他们证明你有适当的控制水平,”Connors解释说,CISO可以进一步培养信任,表明他们不仅在采取措施保护自己组织内的数据,而且还在努力确保他们的业务伙伴和合作伙伴也同样尽职尽责。
然而,CISO在这项任务中不应该感到孤独。
“CISO的角色是提供一定程度的保密性、完整性和可用性,”Connors说,他引用了长期以来被称为中情局三元组的网络安全模式,“而且这不仅仅是CISO的责任。这是一个关于整个组织应该如何建立信任的话题。”
普华永道在其数字信任报告中宣称这是一项值得的努力:“向互联世界展示为何在安全、可靠性、隐私和数据伦理方面发挥领导作用的公司,将成为未来的巨头。”
建立“北极星”般的信任关系
咨询公司SideChannel Security的合伙人和联合创始人、前CISO人 Brian Haugli表示,许多销售代表在寻求建立信任时都会面临挑战。
Haugli说,CISO经常会遇到仍然把安全性视为速度和业务增长障碍的业务同事。CISO有时会发现它们不是早期战略讨论的一部分,而是在后期阶段--当安全性更难集成时--被循环引入到计划当中。
与此同时,Haugli表示,一些首席信息官可能还没有准备好承担建立信任的任务。这些CISO可能还不认为自己是业务推动者、关键顾问和战略合作伙伴,而是被卡在CISO角色的一个版本之中,主要从事于技术监督和拦截安全计划。
事实上,至少有一项调查表明,许多组织并没有完全接受这一概念。
The Cloudfathers:一份《财富》500强的网络安全分析,云接入安全经纪公司Bitglass于2019年9月发布了一份研究报告,研究了《财富》500强企业中与安全相关的面向公众的信息。分析发现,77%的公司没有说明谁应对他们的安全策略负责,而52%的公司在其网站上除了法律要求的隐私通知外,没有任何关于如何保护消费者和合作伙伴数据的声明。
另一方面,一些CISO已经将信任作为了整个安全功能的中心主题。
以Omar Khawaja为例,他是国家健康与福利组织Highmark Health的首席信息官。他认为信任是他和他的安全团队所做工作的缩影,实际上,当他们在2019年初重写安全计划的使命陈述以更好地与公司的战略愿景保持一致时,他也宣布了同样多的内容。
旧的任务声明谈到了安全部门的三个业务目标--合规性、隐私性和效率--这三个目标是通过遵循中情局的三位一体原则实现的。
新愿景声明写道:“我们的愿景是实现一个人们能够毫不含糊地相信自己的信息是安全的世界。”
“信任真的应该像是北极星,”Khawaja解释说,他开始明白安全团队的活动都是为了支持这种信任。
Khawaja表示,他是在几年前开始更多地参加与公司客户的会议后获得这种认识的。这些客户发现,越来越多的医疗机构受到了网络攻击和数据泄露的困扰,他们希望得到保证,即他们的数据在健康状况良好的情况下是安全的。
“所以我带领客户了解了网络的风险,我们对他们做了什么,以及他们对我们所做的事情的感受,”Khawaja说。“我一直觉得,这些讨论的成功性在于,他们是否觉得他们的信息安全在可靠的人手中,他们是否觉得Highmark在数据处理方面已经做得足够好了。”
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号