世界一流的首席信息安全官如何在 2023 年赢得更多预算和董事会信任
这篇文章首次出现在 SC 杂志。它已在此处更新和合并。
首席信息安全官发现自己处于越来越紧张的境地:保护更多资产,发布更多代码,减少更大的攻击面,并利用迅速减少的财务资源来做到这一点。网络安全被视为成本中心是不可避免的事实,尽管组织的安全计划阻碍了威胁行为者成为明天的灾难性头条,但安全领导者必须采取更多措施,用对执行机构来说合理的语言进行推销和证明该部门的整体商业价值。
世界一流的首席信息安全官正在挺身而出,领导全面的安全计划,以增强客户信任和品牌声誉,并利用所有可用的工具来创造不可否认的价值。它首先要采取战略性的预防性方法来应对常见的安全漏洞,并抛开永远没有足够的时间、资源或人员来保持卓越安全水平的心态。
更改董事会会议室中的讨论。
在当前的经济环境下,很少有公司和部门因其花费、招聘人员及其对业务目标的战略影响而逃脱审查。尽管现代企业需要广泛的网络安全计划似乎不费吹灰之力,但这给组织带来了巨大的成本,从投资回报率来看,这并不容易证明其合理性。
C-Suite领导者和董事会利益相关者需要清楚地了解投资网络安全计划的预期结果,这些术语除了电子表格中的数字之外还有意义。他们的技术知识和理解水平各不相同,首席信息安全官必须努力通过易于理解的信息来陈述自己的案情。解释该计划的规模、需要保护的内容以及需要启用谁才能提供一流的示例。攻击呈上升趋势, 但是预算跟不上,而打好这场好战首先要通过口头宣传,为其优点辩护。
长期以来,人们一直说,无论垂直领域如何,每家公司都在迅速成为一家科技公司。由于数字优先的方法已成为大多数组织的常态,这意味着巨大的攻击面,需要当时所能提供的最佳保护。安全领导者身兼多职,但一个被忽视的(直到为时已晚)是,他们本质上是客户信任的监护人。作为一种价值主张,这一点怎么强调都不为过,与销售和营销目标同样重要。
证明预防性安全方法的价值。
当前的网络安全统计数据 令人毛骨悚然,但是在赢得更多预算方面,参与FUD和恐吓通常是一种徒劳的策略。公司领导团队中很少有成员会争辩说网络安全不是优先事项,但如果提出利用现有资源取得更好结果的进取战略,他们更有可能接受预算的增加。
根据新星国际安理会最近的研究, 只有 50% 的公司 觉得他们有足够的预算来解决已知的网络安全问题。再加上全球网络攻击 增长了 38% 在2021年至2022年之间,对于普通首席信息安全官来说,这可能是一条更加艰难的前进道路。但是,真正世界一流的安全领导者有能力克服这些痛点,在逆境中进行创新。
在许多情况下,预防比治疗更容易、更简单,网络安全也不例外。全面的安全计划必须远远超出被动措施,还必须包括漏洞管理 是许多首席信息安全官最关心的问题之一,开发人员是该运动不可分割的一部分是有道理的。他们需要动手教育来直面常见的安全漏洞,帮助他们从源头上消除这些问题,并确保他们从一开始就不会投入生产。我们现在已经到了不能继续为低质量、不安全的代码辩解的地步,而提高开发团队的技能是迄今为止针对代码级漏洞的最具成本效益、最有效的补救措施。
首席信息安全官努力保留现有预算至关重要,详细说明基于角色的安全技能提升的好处,尤其是对开发人员而言,比在笨拙的安全技术堆栈中添加下一个 “灵丹妙药” 要快得多。
安全应该是品牌基础的一部分。
大多数首席信息安全官上任并不是为了激发对营销的热情,但这是一个你可以努力的领域,至少在向那些控制开支的人陈述你的观点时是如此。
网络安全计划对客户信任和品牌忠诚度的影响怎么强调都不为过,大规模的违规行为可能导致圣经规模的外流。相比之下,通过将严格的安全措施与核心品牌价值观相结合,您可以传达一个明确的信息,即数据隐私和保护不仅是头等大事,而且是客户可以信赖的。
现代首席信息安全官必须花时间强调安全战略和政策的竞争优势,因为这与持续的积极客户情绪和信任有关;光靠被动安全不会产生同样的影响,侧重于利用所有可用资源保护特权资产的平衡方法可能是最终的差异化因素。
没有借口的余地了,但是首席信息安全官在为真正具有变革性的安全战略寻求充足资金的过程中可以强调很多令人信服的理由。
首席信息安全官发现自己处于越来越紧张的境地:保护更多资产,发布更多代码,减少更大的攻击面,并利用迅速减少的财务资源来做到这一点。网络安全被视为成本中心是不可避免的事实,尽管组织的安全计划阻碍了威胁行为者成为明天的灾难性头条,但安全领导者必须采取更多措施,用对执行机构来说合理的语言进行推销和证明该部门的整体商业价值。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
这篇文章首次出现在 SC 杂志。它已在此处更新和合并。
首席信息安全官发现自己处于越来越紧张的境地:保护更多资产,发布更多代码,减少更大的攻击面,并利用迅速减少的财务资源来做到这一点。网络安全被视为成本中心是不可避免的事实,尽管组织的安全计划阻碍了威胁行为者成为明天的灾难性头条,但安全领导者必须采取更多措施,用对执行机构来说合理的语言进行推销和证明该部门的整体商业价值。
世界一流的首席信息安全官正在挺身而出,领导全面的安全计划,以增强客户信任和品牌声誉,并利用所有可用的工具来创造不可否认的价值。它首先要采取战略性的预防性方法来应对常见的安全漏洞,并抛开永远没有足够的时间、资源或人员来保持卓越安全水平的心态。
更改董事会会议室中的讨论。
在当前的经济环境下,很少有公司和部门因其花费、招聘人员及其对业务目标的战略影响而逃脱审查。尽管现代企业需要广泛的网络安全计划似乎不费吹灰之力,但这给组织带来了巨大的成本,从投资回报率来看,这并不容易证明其合理性。
C-Suite领导者和董事会利益相关者需要清楚地了解投资网络安全计划的预期结果,这些术语除了电子表格中的数字之外还有意义。他们的技术知识和理解水平各不相同,首席信息安全官必须努力通过易于理解的信息来陈述自己的案情。解释该计划的规模、需要保护的内容以及需要启用谁才能提供一流的示例。攻击呈上升趋势, 但是预算跟不上,而打好这场好战首先要通过口头宣传,为其优点辩护。
长期以来,人们一直说,无论垂直领域如何,每家公司都在迅速成为一家科技公司。由于数字优先的方法已成为大多数组织的常态,这意味着巨大的攻击面,需要当时所能提供的最佳保护。安全领导者身兼多职,但一个被忽视的(直到为时已晚)是,他们本质上是客户信任的监护人。作为一种价值主张,这一点怎么强调都不为过,与销售和营销目标同样重要。
证明预防性安全方法的价值。
当前的网络安全统计数据 令人毛骨悚然,但是在赢得更多预算方面,参与FUD和恐吓通常是一种徒劳的策略。公司领导团队中很少有成员会争辩说网络安全不是优先事项,但如果提出利用现有资源取得更好结果的进取战略,他们更有可能接受预算的增加。
根据新星国际安理会最近的研究, 只有 50% 的公司 觉得他们有足够的预算来解决已知的网络安全问题。再加上全球网络攻击 增长了 38% 在2021年至2022年之间,对于普通首席信息安全官来说,这可能是一条更加艰难的前进道路。但是,真正世界一流的安全领导者有能力克服这些痛点,在逆境中进行创新。
在许多情况下,预防比治疗更容易、更简单,网络安全也不例外。全面的安全计划必须远远超出被动措施,还必须包括漏洞管理 是许多首席信息安全官最关心的问题之一,开发人员是该运动不可分割的一部分是有道理的。他们需要动手教育来直面常见的安全漏洞,帮助他们从源头上消除这些问题,并确保他们从一开始就不会投入生产。我们现在已经到了不能继续为低质量、不安全的代码辩解的地步,而提高开发团队的技能是迄今为止针对代码级漏洞的最具成本效益、最有效的补救措施。
首席信息安全官努力保留现有预算至关重要,详细说明基于角色的安全技能提升的好处,尤其是对开发人员而言,比在笨拙的安全技术堆栈中添加下一个 “灵丹妙药” 要快得多。
安全应该是品牌基础的一部分。
大多数首席信息安全官上任并不是为了激发对营销的热情,但这是一个你可以努力的领域,至少在向那些控制开支的人陈述你的观点时是如此。
网络安全计划对客户信任和品牌忠诚度的影响怎么强调都不为过,大规模的违规行为可能导致圣经规模的外流。相比之下,通过将严格的安全措施与核心品牌价值观相结合,您可以传达一个明确的信息,即数据隐私和保护不仅是头等大事,而且是客户可以信赖的。
现代首席信息安全官必须花时间强调安全战略和政策的竞争优势,因为这与持续的积极客户情绪和信任有关;光靠被动安全不会产生同样的影响,侧重于利用所有可用资源保护特权资产的平衡方法可能是最终的差异化因素。
没有借口的余地了,但是首席信息安全官在为真正具有变革性的安全战略寻求充足资金的过程中可以强调很多令人信服的理由。
这篇文章首次出现在 SC 杂志。它已在此处更新和合并。
首席信息安全官发现自己处于越来越紧张的境地:保护更多资产,发布更多代码,减少更大的攻击面,并利用迅速减少的财务资源来做到这一点。网络安全被视为成本中心是不可避免的事实,尽管组织的安全计划阻碍了威胁行为者成为明天的灾难性头条,但安全领导者必须采取更多措施,用对执行机构来说合理的语言进行推销和证明该部门的整体商业价值。
世界一流的首席信息安全官正在挺身而出,领导全面的安全计划,以增强客户信任和品牌声誉,并利用所有可用的工具来创造不可否认的价值。它首先要采取战略性的预防性方法来应对常见的安全漏洞,并抛开永远没有足够的时间、资源或人员来保持卓越安全水平的心态。
更改董事会会议室中的讨论。
在当前的经济环境下,很少有公司和部门因其花费、招聘人员及其对业务目标的战略影响而逃脱审查。尽管现代企业需要广泛的网络安全计划似乎不费吹灰之力,但这给组织带来了巨大的成本,从投资回报率来看,这并不容易证明其合理性。
C-Suite领导者和董事会利益相关者需要清楚地了解投资网络安全计划的预期结果,这些术语除了电子表格中的数字之外还有意义。他们的技术知识和理解水平各不相同,首席信息安全官必须努力通过易于理解的信息来陈述自己的案情。解释该计划的规模、需要保护的内容以及需要启用谁才能提供一流的示例。攻击呈上升趋势, 但是预算跟不上,而打好这场好战首先要通过口头宣传,为其优点辩护。
长期以来,人们一直说,无论垂直领域如何,每家公司都在迅速成为一家科技公司。由于数字优先的方法已成为大多数组织的常态,这意味着巨大的攻击面,需要当时所能提供的最佳保护。安全领导者身兼多职,但一个被忽视的(直到为时已晚)是,他们本质上是客户信任的监护人。作为一种价值主张,这一点怎么强调都不为过,与销售和营销目标同样重要。
证明预防性安全方法的价值。
当前的网络安全统计数据 令人毛骨悚然,但是在赢得更多预算方面,参与FUD和恐吓通常是一种徒劳的策略。公司领导团队中很少有成员会争辩说网络安全不是优先事项,但如果提出利用现有资源取得更好结果的进取战略,他们更有可能接受预算的增加。
根据新星国际安理会最近的研究, 只有 50% 的公司 觉得他们有足够的预算来解决已知的网络安全问题。再加上全球网络攻击 增长了 38% 在2021年至2022年之间,对于普通首席信息安全官来说,这可能是一条更加艰难的前进道路。但是,真正世界一流的安全领导者有能力克服这些痛点,在逆境中进行创新。
在许多情况下,预防比治疗更容易、更简单,网络安全也不例外。全面的安全计划必须远远超出被动措施,还必须包括漏洞管理 是许多首席信息安全官最关心的问题之一,开发人员是该运动不可分割的一部分是有道理的。他们需要动手教育来直面常见的安全漏洞,帮助他们从源头上消除这些问题,并确保他们从一开始就不会投入生产。我们现在已经到了不能继续为低质量、不安全的代码辩解的地步,而提高开发团队的技能是迄今为止针对代码级漏洞的最具成本效益、最有效的补救措施。
首席信息安全官努力保留现有预算至关重要,详细说明基于角色的安全技能提升的好处,尤其是对开发人员而言,比在笨拙的安全技术堆栈中添加下一个 “灵丹妙药” 要快得多。
安全应该是品牌基础的一部分。
大多数首席信息安全官上任并不是为了激发对营销的热情,但这是一个你可以努力的领域,至少在向那些控制开支的人陈述你的观点时是如此。
网络安全计划对客户信任和品牌忠诚度的影响怎么强调都不为过,大规模的违规行为可能导致圣经规模的外流。相比之下,通过将严格的安全措施与核心品牌价值观相结合,您可以传达一个明确的信息,即数据隐私和保护不仅是头等大事,而且是客户可以信赖的。
现代首席信息安全官必须花时间强调安全战略和政策的竞争优势,因为这与持续的积极客户情绪和信任有关;光靠被动安全不会产生同样的影响,侧重于利用所有可用资源保护特权资产的平衡方法可能是最终的差异化因素。
没有借口的余地了,但是首席信息安全官在为真正具有变革性的安全战略寻求充足资金的过程中可以强调很多令人信服的理由。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
这篇文章首次出现在 SC 杂志。它已在此处更新和合并。
首席信息安全官发现自己处于越来越紧张的境地:保护更多资产,发布更多代码,减少更大的攻击面,并利用迅速减少的财务资源来做到这一点。网络安全被视为成本中心是不可避免的事实,尽管组织的安全计划阻碍了威胁行为者成为明天的灾难性头条,但安全领导者必须采取更多措施,用对执行机构来说合理的语言进行推销和证明该部门的整体商业价值。
世界一流的首席信息安全官正在挺身而出,领导全面的安全计划,以增强客户信任和品牌声誉,并利用所有可用的工具来创造不可否认的价值。它首先要采取战略性的预防性方法来应对常见的安全漏洞,并抛开永远没有足够的时间、资源或人员来保持卓越安全水平的心态。
更改董事会会议室中的讨论。
在当前的经济环境下,很少有公司和部门因其花费、招聘人员及其对业务目标的战略影响而逃脱审查。尽管现代企业需要广泛的网络安全计划似乎不费吹灰之力,但这给组织带来了巨大的成本,从投资回报率来看,这并不容易证明其合理性。
C-Suite领导者和董事会利益相关者需要清楚地了解投资网络安全计划的预期结果,这些术语除了电子表格中的数字之外还有意义。他们的技术知识和理解水平各不相同,首席信息安全官必须努力通过易于理解的信息来陈述自己的案情。解释该计划的规模、需要保护的内容以及需要启用谁才能提供一流的示例。攻击呈上升趋势, 但是预算跟不上,而打好这场好战首先要通过口头宣传,为其优点辩护。
长期以来,人们一直说,无论垂直领域如何,每家公司都在迅速成为一家科技公司。由于数字优先的方法已成为大多数组织的常态,这意味着巨大的攻击面,需要当时所能提供的最佳保护。安全领导者身兼多职,但一个被忽视的(直到为时已晚)是,他们本质上是客户信任的监护人。作为一种价值主张,这一点怎么强调都不为过,与销售和营销目标同样重要。
证明预防性安全方法的价值。
当前的网络安全统计数据 令人毛骨悚然,但是在赢得更多预算方面,参与FUD和恐吓通常是一种徒劳的策略。公司领导团队中很少有成员会争辩说网络安全不是优先事项,但如果提出利用现有资源取得更好结果的进取战略,他们更有可能接受预算的增加。
根据新星国际安理会最近的研究, 只有 50% 的公司 觉得他们有足够的预算来解决已知的网络安全问题。再加上全球网络攻击 增长了 38% 在2021年至2022年之间,对于普通首席信息安全官来说,这可能是一条更加艰难的前进道路。但是,真正世界一流的安全领导者有能力克服这些痛点,在逆境中进行创新。
在许多情况下,预防比治疗更容易、更简单,网络安全也不例外。全面的安全计划必须远远超出被动措施,还必须包括漏洞管理 是许多首席信息安全官最关心的问题之一,开发人员是该运动不可分割的一部分是有道理的。他们需要动手教育来直面常见的安全漏洞,帮助他们从源头上消除这些问题,并确保他们从一开始就不会投入生产。我们现在已经到了不能继续为低质量、不安全的代码辩解的地步,而提高开发团队的技能是迄今为止针对代码级漏洞的最具成本效益、最有效的补救措施。
首席信息安全官努力保留现有预算至关重要,详细说明基于角色的安全技能提升的好处,尤其是对开发人员而言,比在笨拙的安全技术堆栈中添加下一个 “灵丹妙药” 要快得多。
安全应该是品牌基础的一部分。
大多数首席信息安全官上任并不是为了激发对营销的热情,但这是一个你可以努力的领域,至少在向那些控制开支的人陈述你的观点时是如此。
网络安全计划对客户信任和品牌忠诚度的影响怎么强调都不为过,大规模的违规行为可能导致圣经规模的外流。相比之下,通过将严格的安全措施与核心品牌价值观相结合,您可以传达一个明确的信息,即数据隐私和保护不仅是头等大事,而且是客户可以信赖的。
现代首席信息安全官必须花时间强调安全战略和政策的竞争优势,因为这与持续的积极客户情绪和信任有关;光靠被动安全不会产生同样的影响,侧重于利用所有可用资源保护特权资产的平衡方法可能是最终的差异化因素。
没有借口的余地了,但是首席信息安全官在为真正具有变革性的安全战略寻求充足资金的过程中可以强调很多令人信服的理由。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
