文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

领导绝对会问的5个安全问题

2024-12-11 19:07

关注

1. 权衡性问题:我们100%安全么?你能保证么?

[[334309]]

(1) 问题分析

像这样的问题通常是由董事会成员提出的,他们并不真正了解安全及其对业务的影响。并不存在100%的安全。CISO的工作是识别风险最高的领域,并根据业务需求分配有限的资源来管理它们。

(2) 如何回怼

可以这样开头:“考虑到威胁环境的不断变化,不太可能消除所有信息风险的来源。我的角色是实施控制来管控风险。随着业务的增长,我们必须不断重新评估什么样的风险状态是适当的。我们的目标是建立一个可持续的项目,在保护与经营业务之间取得平衡。”

2. 情景类问题:其他公司什么情况?X公司都出来什么事?我们公司现在相比之下情况如何?

[[334310]]

(1) 问题分析

董事会成员将面临安全报告、文章、博客和监管机构要求他们了解风险的压力。他们总会问别人在做什么,尤其是同行公司。他们想知道“大环境”是什么样的,以及他们如何与被人比较。

(2) 如何回怼

要避免猜测其他公司安全问题的根本原因,可以这样说:“在获得更多信息之前,我不想对X公司的事件进行猜测,但当我知道更多信息时,我会继续跟进了解情况。”考虑讨论一系列更广泛的安全事件应对措施,比如确定一个类似的风险点,制定如何修复或更新业务连续性计划。

3. 风险类问题:你知道公司都有哪些风险么?有没有什么问题让你睡不好觉?

(1) 问题分析

董事会知道接受风险是一种选择(如果他们不接受,那就是你将要面临的挑战)。他们想知道公司的风险是否得到了控制。CISO应准备好解释公司的风险承受能力,以确保风险管理决策的制定。

(2) 如何回怼

如果说一切良好,没什么让自己睡不安稳的事情。那只能对你说:“英雄一路走好。”

解释风险管理决策对业务的影响,并确保你的立场有理有据。后半部分至关重要,因为董事会是根据风险承受能力做出决策的。任何超出容忍水平的风险都需要采取补救措施,要使其在容忍范围内。这并不一定要求在短时间内发生巨大的改变,要当心不必要的过度反应。审计委员会将寻求保证,确保重大风险得到充分管理,在某些情况下采取微妙的长期持续性改进办法可能比较适当。

4. 平台类问题:公司的资源配置是否得当?我们(安全上)的花销是否足够了?为什么花了这么多钱?

(1) 问题分析

董事会希望得到保证,确保安全和风险管理部门的负责人不会止步不前。董事会成员希望了解量化分析和ROI(投资回报率)。

(2) 如何回怼

众所周知,信息安全里搞定量分析和ROI那就是自寻死路,所以不要主动去搞什么安全工作的量化收益汇报。

使用一种平衡计分卡(BSC)的方法,其中顶层表达业务期望,并使用一个简单的允许/拒绝机制说明组织针对这些期望的绩效。尽可能多地用业务业绩而不是技术来解释期望。绩效的基础是使用一系列客观标准对安全进行评估的度量。

5. 安全事件问题

这(安全事故)是怎么搞的?我觉得你能管控住的!到底怎么回事?

[[334311]]

(1) 问题分析

当一个事件或事故已经发生,并且董事会已经知道或者CISO正在通知他们时,就会被问到这类问题。

(2) 如何回怼

如果你是事件当事人或负责人,那么第一时间不是甩锅,而是做事,最快抑制,最大程度止损。当然,某些特殊环境的公司可能不太样。

安全事件是不可避免的,所以要实事求是。分享你所知道的和你正在做的事情,找出你目前不知道的。简而言之,承认已发生的安全事件,提供对业务影响的细节汇报,概述需要解决的风险点,并提供缓解计划。在董事会面前,不要把一个选择作为最终选择。安全与风险的监督责任仍由安全主管承担,但最终责任必须由董事会/执行层承担。

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯