小说排行榜,绝色狂妃仙魅小说,新寡妇村传奇

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

眾所矚目的CISO角色已然生變了嗎?

這個職業(yè)現(xiàn)在僅在自我定位中。

網(wǎng)站建設公司,為您提供網(wǎng)站建設,網(wǎng)站制作,網(wǎng)頁設計及定制網(wǎng)站建設服務,專注于企業(yè)網(wǎng)站建設,高端網(wǎng)頁制作,對成都資質(zhì)代辦等多個行業(yè)擁有豐富的網(wǎng)站建設經(jīng)驗的網(wǎng)站建設公司。專業(yè)網(wǎng)站設計,網(wǎng)站優(yōu)化推廣哪家好,專業(yè)seo優(yōu)化優(yōu)化,H5建站,響應式網(wǎng)站。

因數(shù)據(jù)泄露事件造成的惡劣影響，首席信息安全官(CISO)角色被人們重新認識。公眾注意的中心再次跟隨一系列引人注目的大公司數(shù)據(jù)泄露事件，也帶動了對受害者信息安全項目內(nèi)部運作的仔細審視。

許多商業(yè)企業(yè)仍未能更新他們的安全項目并認命集中管理崗位。還記得2011年RSA SecureID雙因子認證數(shù)據(jù)泄露事件以及2012年LinkedIn用戶密碼被盜事件嗎?當時沒有一家組織有專職CISO。事件之后這兩家公司都已補充了該職位。

回顧剛過去的這一年，幾個家喻戶曉的企業(yè)--財富500強的Target和摩根大通，同樣遭受了令人矚目的數(shù)據(jù)泄露事件。它們沒有CISO，甚而也沒有專職負責安全風險項目管理的領(lǐng)導層?？蛻魧Υ瞬粷M，而無論監(jiān)管者、銀行、信用卡放款人或是供應鏈也都對此不滿。

伴隨較高薪資與復雜挑戰(zhàn)的誘惑，CISO這一職位為那些抗高壓的個人提供了機會。他們要能制定安全與風險管理項目，彌合管理層與工程師間的鴻溝，并能在只有模糊細節(jié)的技術(shù)控制措施與合規(guī)框架中找到正確做事方法。升職至CISO的職業(yè)生涯往往始于計算機科學、軍隊與情報或執(zhí)法工作。CISO這一職業(yè)仍在不斷發(fā)展中，然而該領(lǐng)域的許多人看來，它的作用仍有很大程度未被明確。

2013年節(jié)日期間因數(shù)據(jù)泄露事件遭受到數(shù)億損失的Target，近日聘用了它的第一位CISO，Brad Maiorino。這位前通用汽車CISO及首席風險官在今年七月告訴《紐約時報》：“正是現(xiàn)在，我們有機會明確CISO的定位以及我們的匯報對象，身處這一職位是一個激動人心的時刻。”

平衡舉措

早期CISO或多或少扮演著高級管理員角色，他們工作于后勤部門并負責防火墻基本配置。Cubic Corp.首席網(wǎng)絡安全戰(zhàn)略官Bruce Brody直言：“在那個位置沒有真正C級別或者高管級別的角色。”Bruce Brody分別在退伍軍人事務部、能源部以及國防部承包商DRS技術(shù)歷練了其15年的CISO職業(yè)生涯。

當然這正在發(fā)生變化。隨著安全風險與隱私泄露事件的急劇上升，現(xiàn)在CISO這一角色貫穿IT、合規(guī)、業(yè)務連續(xù)性、人員及設施，這使得商業(yè)企業(yè)很難決策如何在組織架構(gòu)中合理設置這一職位。Brody認為：“涉足組織的不同領(lǐng)域已使得CISO可以就座于領(lǐng)導層議席?！?/p>

CISO基本年薪

為了應對不斷變化的威脅格局，一些公司已經(jīng)更新了他們的網(wǎng)絡安全關(guān)注重點，逐漸投入更多資源給CISO這一職位。Alta Associate是一家位于Flemington, N. J.的高端獵頭公司。其資深獵頭Cindy Miseli認為，“為了更充分地做好準備，我們的客戶正在提升CISO職位到真正高管層，而不是需要向C級別匯報的總監(jiān)級別職位，并逐漸增加預算，預期增加人員名額并加大技術(shù)投資?！?/p>

CISO職位通常在具備1000人或以上規(guī)模的企業(yè)才會設立，但市場研究機構(gòu)Gartner建議150人規(guī)模的組織也應考慮聘用專職的CISO。

Alta Associate有著25年歷史，長期從事IT風險管理及安全領(lǐng)域的高管人才招聘。Miseli認為， CISO現(xiàn)在將開始聘用更多專業(yè)的直接下屬，他們在IT取證、事件響應、安全運營和控制以及IT風險管理等領(lǐng)域具備較深入的技術(shù)能力。同時，安全官正被給予機會參與傳統(tǒng)信息安全項目之外的企業(yè)計劃，如兼并與收購以及產(chǎn)品戰(zhàn)略。

“我們正見證客戶在尋找候選人上的轉(zhuǎn)變，不僅需要有成就的技術(shù)專才，還有那些有戰(zhàn)略眼光的業(yè)務驅(qū)動型領(lǐng)導者，后者有能力吸引、挖掘并獲得有能力保護公司品牌與資產(chǎn)的頂尖人才”，Miseli還說：“這正是驅(qū)使薪酬包因組織的規(guī)模與范圍存在30萬美元到50萬美元差異的關(guān)鍵因素?！?/p>

CISO基本年薪

N=133位CISO，《2013薪水基準報告》，Ponemon Institute。

僅是名義上的

CISO職位通常在1000人或以上規(guī)模的企業(yè)才會設立，但是市場研究機構(gòu)Gartner建議150人規(guī)模的組織就應該考慮聘用專職的CISO。Gartner分析師Paul E. Proctor在《CISO商業(yè)案例》2012年報告中寫到，未設立專職CISO職位的實體，范圍從采用“無知是福安全模型”的公司，到那些有著出色的安全控制措施、也因此看不到集中安全領(lǐng)導崗位需求的公司。Proctor還認為，其他公司即使名義上設置了CISO職能，卻將安全工作分配給法務或IT部門，而這些部門沒有時間做專職投入。

Brody認同這一現(xiàn)象在政府及商業(yè)企業(yè)均存在?！按蠖鄶?shù)組織已經(jīng)遭受到了惡意軟件或持續(xù)威脅的重擊或攻擊—惡意攻擊發(fā)生在他們的基礎設施上，”Brody認為，“但只能說他們具備CISO檢查框，用于告知董事會和投資方，‘是的，我們有首席信息安全官?！辽伲麄儾扇〈胧┎⒎帕藢Ｈ嗽趰?，而且從薪酬方面他們也算為CISO投入了資源。不幸的是，這并不能解決任何問題?！?/p>

盡管日益增加的責任與更高的要求，許多公司的CISO職位仍然是技術(shù)驅(qū)動與執(zhí)行層面的，他們僅有極為有限的時間花在戰(zhàn)略和策略制定上。Ponemon Institute分析了133位CISO的數(shù)據(jù)，作為2013年重要薪資調(diào)查的一部分。當CISO們被問及他們時間花費時，以100分計，其中監(jiān)控與審計得分最高(24分)，接下來是完善策略(16分)，事件管理(12分)，業(yè)務連續(xù)性管理(11分)，風險評估(10分)，依次往下。計劃(5分)和采購(4分)分值都相對低。策略制定(2分)、戰(zhàn)略設置(1分)以及公司內(nèi)部溝通(1分)在被調(diào)查者中，排名最低。#p#

關(guān)于戰(zhàn)術(shù)真相

該研究機構(gòu)的創(chuàng)始人及董事會主席Larry Ponemon，在他展示這些初始發(fā)現(xiàn)時指出，這一發(fā)現(xiàn)就CISO在戰(zhàn)略設置與策略制定中所起的作用直接達成共識。他說：“這再次說明CISO實際更偏戰(zhàn)術(shù)一些—這并不是荒誕的說法;這也不讓人意外?！?/p>

犯罪阻止部門——安全官工作完美的一天

· 發(fā)現(xiàn)了系統(tǒng)漏洞 19%

· 阻止了犯罪行為 32%

· 處理了犯罪行為 33%

· 獲得了認可 2%

· 說服了管理層 3%

· 培訓了管理層/董事會 3%

· 保障資金安全 3%

· 保護了同事/個人 5%

N=任職于1000人或以上規(guī)模公司的133位CISO，《2013薪水基準報告》，Ponemon Institute。

Ponemon研究還發(fā)現(xiàn)，在1000人以上規(guī)模的公司，CISO的虛線關(guān)系分別涉及IT運維(78%)、數(shù)據(jù)中心管理(55%)、公司合規(guī)(39%)、業(yè)務連續(xù)性管理(36%)、隱私官(28%)以及企業(yè)風險管理(16%)，而人力資源與公司財務位列最后。

參與此次調(diào)查的CISO們資歷也有所不同：34%的安全官有MIS和計算機背景，20%有法律背景，16%有軍隊背景，而14%有情報經(jīng)驗。

Brody認為：“你可以錄用任何聰明的人，通過正確的培訓將他們培養(yǎng)成信息安全從業(yè)人員。要升遷至CISO職位，此人還需要具備極強的耐受力、使混亂變?yōu)橛行虻慕M織能力、跨越高管與工程技術(shù)間的鴻溝進行高效溝通的能力……而且無論董事會上的西裝領(lǐng)帶還是后勤部門和IT部門中的夏威夷襯衫和牛仔褲著裝，他都能同等自若?！?/p>

“沒人會教給你這些技能，”Brody接著說，他本人職業(yè)生涯始于情報界，隨后換到命令控制的世界，接著進入信息安全領(lǐng)域(跨域的多級安全)，經(jīng)歷幾個管理職能后到CISO職位?！澳惚仨毴W習它們。你還必須去找到問題、解決問題，接著進入下一個問題，然后相應地書寫你的簡歷?！?/p>

Gartner分析師Proctor推薦大型組織首先應創(chuàng)建角色定義，然后“找到首要理解業(yè)務其次理解安全技術(shù)的適合人選。”

“如果你認為問題可以通過技術(shù)解決，那么你也許并不理解問題實質(zhì)，”Brody認為，“真正要做的事情是整體考慮。行政固然很重要，但你不能對技術(shù)一無所知。你的部分工作是制定技術(shù)控制措施以及那些合規(guī)框架的相關(guān)控制......，而除此之外你也還必須考慮其他方面?！?/p>

隨著源源不斷新的安全控制技術(shù)，挑選最適合企業(yè)架構(gòu)的技術(shù)將是一項艱巨的任務，也是這份工作最困難的一面?！坝刑嗪弥饕狻?，Brody認為，而針對所有這些技術(shù)控制的深入評估在信息安全空間完全缺失。

每一位信息安全官都在進行決策，而不幸的是，一些最好的法子是單點解決方案?！爱斢姓w架構(gòu)可確保所有不同領(lǐng)域的安全時，首席信息安全官不可能關(guān)注于單點方案上?！彼又f。“單點方案不能解決1%的問題，因此你總是在尋找可以采用的企業(yè)級方案以改進風險概況?！?/p>

未知的職業(yè)通道

盡管這些工作的重要性，信息安全職業(yè)通道一直定位不清，同時還需要更多的勞動力。美國國土安全部于2013年7月發(fā)布的《美國國家網(wǎng)絡空間勞動力框架》，旨在就角色定位、技能要求及職業(yè)通道進行員工教育。該框架由美國國家標準和技術(shù)研究院(NIST)、美國國家網(wǎng)絡空間安全教育計劃(NICE)與政府和私營實體聯(lián)合開發(fā)。根據(jù)這個框架，CISO的定位不同于信息系統(tǒng)安全官、IT總監(jiān)以及風險執(zhí)行官，其主要負責安全項目管理：

管理組織內(nèi)的信息安全隱患、特定項目或承擔其他領(lǐng)域的責任，包括戰(zhàn)略、人員、基礎設施、政策執(zhí)行、應急規(guī)劃、安全意識和其他資源。

就網(wǎng)絡空間安全而言，根據(jù)這個框架定義，首席信息官負責戰(zhàn)略規(guī)劃與策略制定。Clinger- Cowen法案(前身是1996年的信息技術(shù)管理變革法案)定義了政府部門的CIO職能。2002年的聯(lián)邦信息安全管理法案(FISMA)定義了高級機構(gòu)信息安全官，它已逐漸成為首席信息安全官。這兩個角色都在持續(xù)發(fā)展中。

Brody認為，當CIO與CISO在企業(yè)中協(xié)同工作時，CIO的工作本質(zhì)是“電源、ping以及管道”。CISO職位是保護、防御、回應、響應及恢復，而且這一連續(xù)的信息安全可能會干涉CIO的預算優(yōu)先級以及保持所有系統(tǒng)運行的意愿。Ponemon研究表明，如果CISO繞過CIO、直接向董事會以及其他高管匯報，通常這種匯報方式會為CISO帶來更高的薪酬。

Ponemon研究表明，如果CISO繞過CIO、直接向董事會以及其他高管匯報，通常這種匯報方式會為CISO帶來更高的薪酬。

CISO向董事會匯報的方式(針對1000人或以上規(guī)模公司的研究)

N=133位CISO，《2013薪水基準報告》，Ponemon Institute。

Brody認為：“這兩個角色都在演進中。讓我們思考IT技術(shù)的未來。如果每一個企業(yè)都將采用“自帶設備”(BYOD)辦公方式，減少基礎設施投入，把所有應用都放到云里面去，那么CIO與安全官的職能很快將進行對調(diào)?！?/p>

業(yè)界需要為信息安全從業(yè)人員定義一條職業(yè)通道，并指引他們獲得更好的職業(yè)發(fā)展。Brody認為，CISO職業(yè)現(xiàn)在僅僅在做自我定位。他說：“它是一片這樣的職場，成功未獲得通常意義的承認，而失敗被不成比例地過度強調(diào)，有時還會登上《華盛頓郵報》頭版。但它是非常有意義的精神享受，也即完成某件事的當天結(jié)束時獲得的那種成就感。信息安全這類職業(yè)沒有常規(guī)可循?！?/p>
網(wǎng)站標題：眾所矚目的CISO角色已然生變了嗎?
文章出自：http://fisionsoft.com.cn/article/cohoioi.html

新聞中心

其他資訊