克服了安全起见顽固高管

即使内强安全性的认识组织和已到提高认识，安全管理人员贡献了高调的黑客还是会遇到在做他们的工作，以保护数据和系统显著障碍。

有企业高管，以及那些在较低水平的组织冲突，使其更加具有挑战性的CSO和首席信息安全官创造一个安全的环境，但他们继续发生。

戴夫Dalva，在Stroz Friedberg的副总裁，谁在CISO的位置就职于多家客户说，许多安全和企业高管之间发生的冲突是由于有关风险持续哲学分歧。

“在我的经验中，头号问题就是文化的冲突，” Dalva说。“高级管理人员包括董事会经常不断地看到信息安全或风险管理作为一个IT问题，或者更糟糕的问题，而不是一个商业问题的技术。”

许多企业领导人不明白或承认，他们需要管理的安全隐患，他们管理金融风险以同样的方式，并给予安全的高度重视和资助其认股权证，Dalva说。

“安全性，在一定程度上，常常是在与高层领导团队的赔率，”在安全技术提供商Websense的增加大卫巴顿，CISO。“管理风险，保护品牌并不总是高管顶心，这是正确的，因为它们都集中在股东回报。”

大卫·巴顿，首席信息安全官的安全技术提供商Websense的

对CISO的挑战是帮助高级管理人员了解，股东回报率是直接关系到保护品牌和管理业务风险，巴顿说。

这意味着教育CEO，CFO，其他高级商业领袖和有关安全不足的真正的风险板。“他们需要认识到这是一个企业的风险问题”，而不是一个IT问题，Dalva说。“一旦他们这样做，它更容易建立和执行政策和适用于该组织的程序。”

近几个月来高调的黑客，肯定有所帮助带来网络安全的最前沿，但需要更多的工作，Dalva说。

其他冲突来自可用性和安全性之间古老的斗争。“我已经参与了信息安全工作近30年，我见过很多次，那里的高管认为安全的不便，” Dalva说。

“当高管认为某个安全计划将使他们的计算体验[更难]，它往往是难以克服这种看法，” Dalva说。“这种看法使得安全管理人员的工作艰难，这使得它的安全团队更具挑战性跨企业地址的风险。然而，安全团队仍有望保持企业的安全。”

一个CISO谁不希望被涉及的是一个例行审计过程中他的研究小组发现，在组织中的所有账户都符合其密码策略，除了一个CEO的。

“我走进他的办公室，画了我们的合规状况和有关密码的合不利的审计发现的潜在的图片，”首席信息安全官说。“我的CEO很不高兴知道这种潜在的并指示我通知账户持有人，并获得问题解决。我解释有关的帐户是他的，我需要他改变他的密码。他改变了他的密码，并永远不会再有问题。”

周杰伦韭菜，CISO在黑石集团，一家投资公司说，与便利性和安全性的权衡也变得不再是一个问题了许多高级管理人员，因为他们现在大部分的风险更清楚。而人们在较低级别的组织一般都尽量做他们一直在问什么，当涉及到安全性。

现在在哪里位于挑战是中层管理人员，韭菜说。通常，这些都是压力得到快速，高效地完成项目下的人民，他们正在寻找快捷方式，例如不使用繁琐的密码，希望有更多的数据访问比他们可能实际需要。

“也许他们不知道所有这些见解[关于安全隐患]或他们感到更加授权，”韭菜说。“我看到他们承担更多的风险。我们已经做了很好的工作教育中层管理人员，所以我们今天没有这个问题。”

但是，这并不意味着韭菜永远不会被质疑。“我已经有一些非常艰难的讨论”关于安全策略。“虽然这是不舒服的，而不是最快乐的时光，我已经能够至少活着走出来，并没有得到激发。”

如果做得好应该提供一个用户友好的方式保护安全，Dalva说。例如，企业可以部署的技术，如单点登录，而不是强迫用户对于各种系统和应用程序的多个密码。

“安全性并不一定会妨碍把事情做好，” Dalva说。在同一时间，提供数据保护“它可以提高生产力。”

带上你自己的设备（BYOD）的问题创造了他们的安全和企业高管之间的冲突份额。

“当iPad刚出来谁想要携带它们的第一人左右是最高级管理人员。你如何保护呢？”韭菜说。

“每个人都在试图找出他们如何能拿到还没有准备好部署的设备”安全，韭菜说。“人们希望这些很酷的新的工具或设备，如说，”不给思想到安全问题。

的安全性和业务领导之间的差异的其他来源有预算和人员去做。

谁不想被识别的CISO说，在一个预算周期公司的CFO作出了IT安全预算单方面改变并削减了一些物品是合规性和性质的监管。

“这些预算项目进行了界定和合理的，但最终是从上一年增加使他们从计划中删除，”首席信息安全官说。“无数次会议和解释后，我能得到协议中支出的增加。即使有正当的理由，这是至关重要的首席信息安全官，以帮助教育上的安全趋势，资金，监管问题等高层领导”

当涉及到使用的资源，如人与资本，首席信息安全官和民间社会组织同谁拥有不同的驱动程序和激励其他商界领袖角逐，巴顿说。

“这是刻不容缓的CISO社会与商业领袖的合作伙伴，帮助他们了解的信息安全支出，以及如何使其他企业领导人创建，实施和部署以安全的方式行动之间的关系，”巴顿说。

凭借经验丰富的保安人员在许多组织中，分歧持续短缺在人员配备问题可能是争论的一个持续的来源。

“很多企业做[资本支出]一个容易的部分，并在新技术显著的投资，”迈克尔·库克，在导向点安全的高级安全顾问说。“但（他们）未能使人们相应的投资和开发相关的流程，利用该技术，无论是监测，分析，调查，研究或安全程序的开发。”

其结果是资本投资显著得到充分利用，Cook说。“那是在他们的薪酬结构掣肘公司，无法获得适当资格的人，并最终要么没有做足够的工作人员，或雇用谁是不太合适的安全部门的作用和需要的人。”

库克已经看到安全主管来回走与人力资源和薪酬管理人员和领取薪酬范围一次或两次增加，但仍不到市场层面。然后，他们被告知，没有什么可以做更多工作，他们放弃战斗。

“他们结束了他们已获得了什么工作，并在补偿范围招聘的人，”库克说。“我不能强调足够的这一负面影响如何处理，以及对安全成熟度的追求。”

这个故事，“克服安全起见顽固高管”最初发表CSO 。