首席安全官

首席安全官

首席安全官(CSO)負責整個機構的安全運行狀態,既包括物理安全又包括數字信息安全。首席信息安全官即CISO,負責整個機構的安全策略。首席信息安全官需要經常要向CIO(首席信息官)匯報,有時甚至直接向CEO(執行長)進行匯報。在現實生活中,首席安全官和首席信息安全官的角色經常互動。

簡介

首席安全官Mozilla首席安全官溫德·施奈德
首席安全官(Chief Security Officer,簡稱CSO)也可以稱為CISO(首席信息安全官,Chief Information Security Officer的縮寫)或者ISO(信息安全官,Information Security Officer的縮寫),這是有別於CIO(首席信息官,Chief Information Officer的縮寫)的獨特之處。首席安全官負責監控協調公司內部的安全工作,包括信息技術、人力資源通信、合規性、設備管理以及其他組織,首席安全官還要負責制訂安全措施安全標準。首席安全官需要經常舉辦參加相關領域的活動,如參與跟業務連續性、損失預防、詐欺預防和保護隱私等相關議題的活動

產生

因為各種因素促使各種安全問題糾集在一起,需要由一個單獨組織進行統一保護,從業產生了首席安全官這個角色。因素包括一下幾種:

1.在戰術層面上,技術要素正在被注入到物理安全工具中,並且這些工具不斷被資料庫技術和網路技術所驅動。

2.在戰略層面上,執行長公司董事會根據一些法規,如薩班斯﹒奧克斯利法案,從企業高度對風險進行控制。

3.在實際操作層面上,首席安全官統一管理安全問題,可以顯著降低運營成本

工作職能

首席安全官邁克菲公司首席安全官Martin Carmichael博士
安全策略通常需要根據企業的不同需求而有所改變,儘管不同的企業需要不同的安全策略,不過安全策略通常都必須包括以下職能:

1.對安全機構和服務提供商進行監控,由服務提供商負責保護企業資產、智慧財產權計算機系統安全。

2.確定保護目標和保護制度與公司的戰略計畫保持一致。

3.制訂及執行區域以及全球的安全政策、安全標準、指導方針和執行程式,以保證持續解決安全問題。信息保護職責包括:網路安全結構、網路訪問和政策監控以及員工培訓等等。

4.像調查安全缺口那樣全面監控事件回響計畫,如有必要必須幫助安全缺口部門完善培訓計畫和法律方面的事宜。

5.像獨立安全審計顧問那樣,與外部安全顧問一起工作。

6.制訂全面的風險管理策略,並確保策略的執行。了解當前以及未來可能存在的風險,並且在必要時根據風險和威脅的變化及時調整策略。

7.全面監控產品的內部使用,並且確保工程小組與操作小組保持溝通,在產品出現問題時以便及時發現並解決問題。

8.進一步完善災難恢復業務連續性策略,通過每一個業務單元的共同努力,確保擁有一個整合性良好的計畫和策略

9.物理安全責任應該包括資產保護、工作場所危險防護、訪問控制系統以及視頻監控措施等。

工作職責

首席安全官的工作職責主要有:

1.從提高客群意識水平和了解客群想法入手,提高企業在區及全球的安全狀況視。

2.把提供安全作為一種資源和檢查手段,不要因此而影響到企業的正常運轉。

3.起動能夠對整體的企業產生巨大影響的關鍵項目

4.通過考慮企業的優先等級、資產和GAP分析,確定企業整體風險和安全計畫的範圍。

5.避免安全問題成為阻礙企業內部生產力發展的瓶頸

易犯錯誤

1.認為安全問題僅僅是技術問題。

2.試圖將巨觀問題與微觀問題作對比。

3.猜測用戶對安全問題感興趣。

4.猜測用戶對安全問題很了解 。

任職資格

必須是個理智、擅長表達、有說服能力的領導者,作為公司高層管理團隊的有效成員,能勝任這一職位。能夠就安全相關的概念進行廣泛的交流和溝通,包括與技術和非技術各類人員。具備商業計畫、賬目檢查及風險管理的工作經驗,還包括契約及商務談判。具備一定的法律背景,充分理解信息技術和信息安全,包括防火牆、VPNs、入侵監測以及其他安全設備。

基本素質

(圖)首席安全官首席安全官

管理能力。安全機制包括防火牆、IDSIPS如何部署等問題。針對網路上的漏洞、黑客攻擊的手段,首席安全官要制訂安全規則,使公司的各部門主管了解到需要做什麼事情,並定期檢查,對各部門的安全進行評估

比如銀行的線上交易業務,該業務的價格和新聞信息來自於別家的公司,銀行要及時地拿到這樣的信息,就需要連線到許多不同的第三方公司。同時,銀行也要把交易平台公開對外,讓用戶登錄進來,看價格,買賣股票。這樣的業務很複雜,牽扯到對外、第三方和內部的重要資料,需要考慮的安全問題很多。

從第三方得到新聞,只能讓對方傳送新聞進來,不能有銀行的內部資料讓第三方得到,控制是單方面的,中間不能有差錯。如果讓黑客混進來,登了一個假新聞,市場就會受到嚴重影響。保證第三方的資料沒有被改過,保證第三方的傳送沒有被中斷,不只是技術上的問題。如果單純從技術上考慮安全,那往往是不安全的。

對外,就牽扯到怎么控制用戶,這需要制訂一些規則。比如一個用戶打錯三次密碼,就不能登錄了,需要通過其它方式的認證才可以重新登錄。這些規則不只是對外的,也是對內的。當用戶進來後,是不是要有IPS和防火牆來防黑客,網路伺服器是不是需要備份等都需要考慮。

對於銀行的資料庫,管理人員是不可以看到用戶個人資料的,他只能管理資料庫。資料庫和網路伺服器中間是不是需要加一些安全機制,怎么樣去做認證保證用戶資料的安全等,制訂這些規則其實是很難的。

CSO還要懂技術。技術上的要求不是很強,首席安全官必須知道新的漏洞、新的攻擊是什麼,用什麼方式可以去防護,怎么樣達到安全的要求。比如一個企業要購買防火牆,CSO不僅要知道為什麼要裝防火牆,而且要知道怎么裝,如何把網路伺服器、郵件伺服器集中在一個區域並與內部區域分開,以確保公司的內部區域受到保護。

CSO要有全面性的知識,要了解公司的運作,要具備法律上的知識。比如銀行的CSO,銀行每個部門的安全需求都不一樣,CSO必須要有很好的知識去了解。知識不是光指技術,他要了解具體部門是如何運作的,並用他的技術能力保證各部門的安全。CSO還要有法律上的知識,銀行的每個部門牽扯到的法律也不一樣,所以他也需要這樣的知識

衡量工作

從提高客群意識水平和了解客群想法入手,提高企業在區域及全球的安全狀況。

把提供安全作為一種資源和檢查手段,不要因此而影響到企業的正常運轉。

啟動能夠對整個企業產生巨大影響的關鍵項目。

通過考慮企業的優先等級、資產和GAP分析,確定企業整體風險和安全計畫的範圍。

避免安全問題成為阻礙企業內部生產力發展的瓶頸。

成功要素

(圖)首席安全官首席安全官

1、得到經理們的支持。

2、與人力資源部門和法律部門合作。與這兩個部門的保持良好關係是安全工作取得成功不可缺少的要素,尤其在跨國公司中。

3、發展與用戶的良好關係。當最終用戶拒絕遵守IT網路安全計畫時,計畫將變成一紙空文。

4、了解自己擁有什麼。資產目錄是絕對需要的,它應當包括一張顯示PC、伺服器、交換機和路由器位置的網路圖以及硬體清單。

5、擁有合適的工具。小型辦公室的安全官可以手工完成任務。而跨國公司的安全官則完全依賴於工具進行安全漏洞掃描等基本活動。

6、審查和更新企業安全政策。安全官必須了解企業有關安全性和補救程式等關鍵問題的政策。變更管理和跟蹤日誌必不可少。

7、採用強認證。當系統以高度的確定性掌握網路上每個人的身份時,就可以管理他們的訪問,阻擋不認識的個人,甚至阻擋那些從公司內部登錄到網路上的人。

相關詞條

相關搜尋

熱門詞條

聯絡我們