不要等到發(fā)生安全事件的時候,再去邀請CISO加入董事會。
最近在倫敦舉行的IPSec大會上,F(xiàn)-Secure首席研究官米科·西博能稱,公司企業(yè)應將首席信息安全官(CISO)與CIO一起,列入董事席位中。西博能提到了信用參考機構Equifax泄露1.45億美國人記錄的黑客事件,他指出,隨著軟件應用的盛行,CISO如今在幾乎每家大型企業(yè)的管理和監(jiān)督中都占據(jù)了關鍵地位。
F-Secure首席研究官米科·西博能
在董事會的討論內(nèi)容中,網(wǎng)絡安全工作非常被動,公司董事會根本不考慮這個問題。他們不是計算機專家,也不是網(wǎng)絡安全專家,對網(wǎng)絡安全提不起興趣。
但每當大事件發(fā)生,網(wǎng)絡安全就變成了董事會級的問題。他們邀請CISO或CIO參與會議進行講解,雖然事后很快拋諸腦后。這不是正確的做法。每家大公司的董事級會議里,網(wǎng)絡安全都應該成為一個常規(guī)話題。每家大公司都需要一位CISO,該名CISO應是高管團隊的一員,并且應進入董事會。
CISO應進入董事會,但其原因是,今天的每家公司都是軟件公司,無論你做的是什么。Equifax是一家軟件公司。汽車制造商是軟件公司。他們都做軟件。每家公司都做軟件,軟件就是成功公司和不那么成功的公司的分水嶺。
數(shù)字化是企業(yè)在今日市場脫穎而出的關鍵。酒店是軟件公司,餐館是軟件公司,每家公司都是軟件公司。物聯(lián)網(wǎng)更是加重了這種情況,當它們產(chǎn)生的數(shù)據(jù)比所耗費的額外設備價值更高時,沒人能脫離物聯(lián)網(wǎng)而生。
招聘機構透露,一些CISO不僅年薪超過50萬英鎊,許多CISO已經(jīng)開始進入公司的董事會。