Horizo​​n Power CISO的3个问题Jeff Campbell

Jeff Campbell是澳大利亚珀斯的Horizo​​n Power首席信息安全官。 Zoom让您相信他是一个悠闲的人。当他在烧烤场时可能是正确的-但当他开始回答有关CISO权限的关键问题时，很明显，这对他的安全态势无可厚非。
最近，我们有机会向他提出了三个有关他如何看待自己的问题的问题： 有趣的问题。天哪，如果您跨CISO提出这个问题，有些人会说他们需要管理组织！我一直认为，只要您能从高管那里买单并愿意在整个组织中提供这些服务（而不是自动提供），而是协作提供，那么这并不重要。
现在有人会说，CISO职能在治理职能中比技术上更具风险。因此，正确的报告方式可能直接通过您的审核和风险管理委员会或董事会。 但是，我认为我们现在开始看到这种转变正在向技术领域以外的方向发展，并且我们开始看到向风险机构或公司治理机构进行报告。
是的，因为如果您查看CIO的职权范围，那是什么？是否可以快速实现数字进化？有时这与安全人员的任务直接冲突。因为是的，我们可以快速，安全地执行操作，但是可能不得不承认某些技术限制，而这些限制可能不适合那些产品的快速进化敏捷交付。所以，是的。
根据我的经验，CISO曾经来自计算机科学背景。根本改变了。当您查看大学计划提供的计算机或技术专业人员时，我们发现CISO来自反恐背景，风险背景。
由于安全形势的快速变化，我们也开始看到CISO来自变更背景-有时与对任何特定领域的深入技术了解背道而驰。成为一名通才，有时可以通过研究新方法而受益。 我认为从业务的角度来看，我们将看到更多的四面八方的人进入这些角色，但请不要误会我的意思。
您仍然需要掌握技术知识，而这是否就是您与可以过滤到您（或者您自己拥有）的人员一起为自己服务，您仍然需要了解一些技术概念，才能真正知道哪种安全方法是最好的。 一切都必须基于风险。进入组织的公司风险框架，了解他们认为什么是战略推动者的重要性，然后了解安全性，尤其是在这个数字未来中，在实现这些战略计划中起着非常非常重要的作用。 > 那么，您如何确定优先级？您将制定与董事会希望了解的有关网络安全的指标一致，并确定这些指标与这些计划的实施之间的联系。这些指标需要以一种通用语言来构架，董事会和执行层的通用语言存在风险。这就是确定优先顺序的方式。
一个好的机制是网络钓鱼活动。当您查看最近造成一些数亿美元收入或生产力损失的一些重大漏洞时，所有这些漏洞均来自于无意间被点击的网络钓鱼电子邮件，然后是组织内部的横向移动。 因此，一个好的机制是运行我们称为文化和意识的会议。
现在有效吗？有时候，第三方的启发是唯一可以带您跨过路线的事情，对吗？他们可以听到您的声音，但是您在组织中。但是神奇的是，当有人开始说同样的话时，董事会突然开始引起注意。 因此，我强烈建议与一位安全意识专家一起进行董事会演讲。