CISOs与利益相关者协作进行产品和客户应用风险评估

关键要点

CISOs不仅要关注内部系统的网络安全，还需关注产品和面向用户的应用程序。风险评估需要了解客户合同及合规性要求，并与IT、网络安全及风险管理专业人士通力合作。在大企业中，CISOs可以通过业务信息安全官BISO获得支持，以专注于特定的安全区。对于客户导向的安全，企业应将内部安全目标与客户信任模型相匹配。与客户的互动安全需求复杂，确保API安全至关重要。

CISOs首席信息安全官不再仅负责内部系统的网络安全。在许多组织中，他们的职责还扩展到保护产品和面向公众的应用程序，进行有效的风险评估是达成这一目标的关键方法。

风险评估的过程需要根据客户合同法规等关键元素识别基准安全标准。LeadingEdgeCyber的合伙人Neil Lappage指出：“从一开始，你就要关注客户合同中的必要要求和合规性要求，并必须在这些参数范围内进行工作。同时，你必须了解利益相关者是谁，他们在这方面的利益，以及安全目标。”

在定义组织风险概况的过程中，IT、网络安全和风险管理专业人士之间的紧密合作是至关重要的。Lappage补充道：“了解组织的风险概况需要网络安全团队与IT部门协作，并向业务部门汇报，这样网络安全、IT和风险管理三者才能和谐共存。如果网络安全与其他业务隔离，且无法了解业务，那么风险就无法得到优化。”

将安全目标映射到客户信任模型

Lappage建议在进行客户导向安全时，将内部安全目标与组织希望与客户建立的信任模型对应起来。“这意味着要理解我们向客户提供的所有解决方案的风险概况。”

对于互联网连接的资产，其在风险概况中扮演着关键角色，因此在高风险场景中需要实施更强的控制措施。Lappage表示：“当这些面向互联网的系统同时对业务产生重大影响时，你必须优先考虑这些系统。”因此，应当通过优先考虑基于固有风险的投资协议来进行。

在大型组织中，Lappage还建议CISOs可以通过业务信息安全官BISO来获得支持，此人直接向CISO汇报。这样可以为特定的安全领域提供相对专注的支持。但是，他警告说，这不应导致CISO失去对整个组织的全局视角。“你需要有下属专注于这些特定领域，但他们必须具备整体视角，”他说。

定义外部风险概况

Lexmark的CISO Bryan Willett指出，在考虑如何在高风险区域投资资源和预算时，一切必须从风险角度分析，以识别最高的风险等级。在打印和影像产品行业中，团队不仅要维护安全的业务系统，还需开发安全的产品。“我们需要有后端系统，还有面向客户的数据门户，而这一切都需要进行风险评估，”Willett告诉CSO。

Lexmark的安全治理团队负责处理网络风险，而其他团队则关注供应链风险和金融风险，企业风险管理团队负责整体风险。Willett聚焦于企业风险，因为他认为这是关键风险的来源，且要具备全面的监督权。

黑洞加速器ios下载地址

在确保消费者手中的产品安全时，需要考虑不同的因素。“以可重复的方式交付安全产品并非偶然。你必须具备良好的流程，并且有意识地训练员工，让他们理解交付安全产品的含义，”他说。

业务系统需要建立内部监控和警报机制，而产品需设计得便于客户监控。“这一职责就转交给客户，他们需对该系统的软件环境进行监控，包括补丁、监控日志、固件更新等。”

在Lexmark，专门的团队与订阅其服务的客户进行沟通，帮助解决安全挑战，并将安全风险降到最低。“在当前环境下，应用补丁的责任是一种与客户共享的责任，”他说。

“很多时候，组织会在其环境中放置设备，只要设备正常工作，他们往往就忘记了维护，这并不是我们希望客户采取的态度。我们一方面努力确保为客户提供可用的软件和固件更新；另一方面，客户也必须承担对这些更新的实施责任，”Willett说。

销售硬件通常涉及提供相关服务，无论是Saa