世界一流的首席信息安全官如何在 2023 年赢得更多预算和董事会信任
这篇文章首次出现在 SC 杂志。它已在此处更新和合并。
首席信息安全官发现自己处于越来越紧张的境地:保护更多资产,发布更多代码,减少更大的攻击面,并利用迅速减少的财务资源来做到这一点。网络安全被视为成本中心是不可避免的事实,尽管组织的安全计划阻碍了威胁行为者成为明天的灾难性头条,但安全领导者必须采取更多措施,用对执行机构来说合理的语言进行推销和证明该部门的整体商业价值。
世界一流的首席信息安全官正在挺身而出,领导全面的安全计划,以增强客户信任和品牌声誉,并利用所有可用的工具来创造不可否认的价值。它首先要采取战略性的预防性方法来应对常见的安全漏洞,并抛开永远没有足够的时间、资源或人员来保持卓越安全水平的心态。
更改董事会会议室中的讨论。
在当前的经济环境下,很少有公司和部门因其花费、招聘人员及其对业务目标的战略影响而逃脱审查。尽管现代企业需要广泛的网络安全计划似乎不费吹灰之力,但这给组织带来了巨大的成本,从投资回报率来看,这并不容易证明其合理性。
C-Suite领导者和董事会利益相关者需要清楚地了解投资网络安全计划的预期结果,这些术语除了电子表格中的数字之外还有意义。他们的技术知识和理解水平各不相同,首席信息安全官必须努力通过易于理解的信息来陈述自己的案情。解释该计划的规模、需要保护的内容以及需要启用谁才能提供一流的示例。攻击呈上升趋势, 但是预算跟不上,而打好这场好战首先要通过口头宣传,为其优点辩护。
长期以来,人们一直说,无论垂直领域如何,每家公司都在迅速成为一家科技公司。由于数字优先的方法已成为大多数组织的常态,这意味着巨大的攻击面,需要当时所能提供的最佳保护。安全领导者身兼多职,但一个被忽视的(直到为时已晚)是,他们本质上是客户信任的监护人。作为一种价值主张,这一点怎么强调都不为过,与销售和营销目标同样重要。
证明预防性安全方法的价值。
当前的网络安全统计数据 令人毛骨悚然,但是在赢得更多预算方面,参与FUD和恐吓通常是一种徒劳的策略。公司领导团队中很少有成员会争辩说网络安全不是优先事项,但如果提出利用现有资源取得更好结果的进取战略,他们更有可能接受预算的增加。
根据新星国际安理会最近的研究, 只有 50% 的公司 觉得他们有足够的预算来解决已知的网络安全问题。再加上全球网络攻击 增长了 38% 在2021年至2022年之间,对于普通首席信息安全官来说,这可能是一条更加艰难的前进道路。但是,真正世界一流的安全领导者有能力克服这些痛点,在逆境中进行创新。
在许多情况下,预防比治疗更容易、更简单,网络安全也不例外。全面的安全计划必须远远超出被动措施,还必须包括漏洞管理 是许多首席信息安全官最关心的问题之一,开发人员是该运动不可分割的一部分是有道理的。他们需要动手教育来直面常见的安全漏洞,帮助他们从源头上消除这些问题,并确保他们从一开始就不会投入生产。我们现在已经到了不能继续为低质量、不安全的代码辩解的地步,而提高开发团队的技能是迄今为止针对代码级漏洞的最具成本效益、最有效的补救措施。
首席信息安全官努力保留现有预算至关重要,详细说明基于角色的安全技能提升的好处,尤其是对开发人员而言,比在笨拙的安全技术堆栈中添加下一个 “灵丹妙药” 要快得多。
安全应该是品牌基础的一部分。
大多数首席信息安全官上任并不是为了激发对营销的热情,但这是一个你可以努力的领域,至少在向那些控制开支的人陈述你的观点时是如此。
网络安全计划对客户信任和品牌忠诚度的影响怎么强调都不为过,大规模的违规行为可能导致圣经规模的外流。相比之下,通过将严格的安全措施与核心品牌价值观相结合,您可以传达一个明确的信息,即数据隐私和保护不仅是头等大事,而且是客户可以信赖的。
现代首席信息安全官必须花时间强调安全战略和政策的竞争优势,因为这与持续的积极客户情绪和信任有关;光靠被动安全不会产生同样的影响,侧重于利用所有可用资源保护特权资产的平衡方法可能是最终的差异化因素。
没有借口的余地了,但是首席信息安全官在为真正具有变革性的安全战略寻求充足资金的过程中可以强调很多令人信服的理由。
首席信息安全官发现自己处于越来越紧张的境地:保护更多资产,发布更多代码,减少更大的攻击面,并利用迅速减少的财务资源来做到这一点。网络安全被视为成本中心是不可避免的事实,尽管组织的安全计划阻碍了威胁行为者成为明天的灾难性头条,但安全领导者必须采取更多措施,用对执行机构来说合理的语言进行推销和证明该部门的整体商业价值。
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
这篇文章首次出现在 SC 杂志。它已在此处更新和合并。
首席信息安全官发现自己处于越来越紧张的境地:保护更多资产,发布更多代码,减少更大的攻击面,并利用迅速减少的财务资源来做到这一点。网络安全被视为成本中心是不可避免的事实,尽管组织的安全计划阻碍了威胁行为者成为明天的灾难性头条,但安全领导者必须采取更多措施,用对执行机构来说合理的语言进行推销和证明该部门的整体商业价值。
世界一流的首席信息安全官正在挺身而出,领导全面的安全计划,以增强客户信任和品牌声誉,并利用所有可用的工具来创造不可否认的价值。它首先要采取战略性的预防性方法来应对常见的安全漏洞,并抛开永远没有足够的时间、资源或人员来保持卓越安全水平的心态。
更改董事会会议室中的讨论。
在当前的经济环境下,很少有公司和部门因其花费、招聘人员及其对业务目标的战略影响而逃脱审查。尽管现代企业需要广泛的网络安全计划似乎不费吹灰之力,但这给组织带来了巨大的成本,从投资回报率来看,这并不容易证明其合理性。
C-Suite领导者和董事会利益相关者需要清楚地了解投资网络安全计划的预期结果,这些术语除了电子表格中的数字之外还有意义。他们的技术知识和理解水平各不相同,首席信息安全官必须努力通过易于理解的信息来陈述自己的案情。解释该计划的规模、需要保护的内容以及需要启用谁才能提供一流的示例。攻击呈上升趋势, 但是预算跟不上,而打好这场好战首先要通过口头宣传,为其优点辩护。
长期以来,人们一直说,无论垂直领域如何,每家公司都在迅速成为一家科技公司。由于数字优先的方法已成为大多数组织的常态,这意味着巨大的攻击面,需要当时所能提供的最佳保护。安全领导者身兼多职,但一个被忽视的(直到为时已晚)是,他们本质上是客户信任的监护人。作为一种价值主张,这一点怎么强调都不为过,与销售和营销目标同样重要。
证明预防性安全方法的价值。
当前的网络安全统计数据 令人毛骨悚然,但是在赢得更多预算方面,参与FUD和恐吓通常是一种徒劳的策略。公司领导团队中很少有成员会争辩说网络安全不是优先事项,但如果提出利用现有资源取得更好结果的进取战略,他们更有可能接受预算的增加。
根据新星国际安理会最近的研究, 只有 50% 的公司 觉得他们有足够的预算来解决已知的网络安全问题。再加上全球网络攻击 增长了 38% 在2021年至2022年之间,对于普通首席信息安全官来说,这可能是一条更加艰难的前进道路。但是,真正世界一流的安全领导者有能力克服这些痛点,在逆境中进行创新。
在许多情况下,预防比治疗更容易、更简单,网络安全也不例外。全面的安全计划必须远远超出被动措施,还必须包括漏洞管理 是许多首席信息安全官最关心的问题之一,开发人员是该运动不可分割的一部分是有道理的。他们需要动手教育来直面常见的安全漏洞,帮助他们从源头上消除这些问题,并确保他们从一开始就不会投入生产。我们现在已经到了不能继续为低质量、不安全的代码辩解的地步,而提高开发团队的技能是迄今为止针对代码级漏洞的最具成本效益、最有效的补救措施。
首席信息安全官努力保留现有预算至关重要,详细说明基于角色的安全技能提升的好处,尤其是对开发人员而言,比在笨拙的安全技术堆栈中添加下一个 “灵丹妙药” 要快得多。
安全应该是品牌基础的一部分。
大多数首席信息安全官上任并不是为了激发对营销的热情,但这是一个你可以努力的领域,至少在向那些控制开支的人陈述你的观点时是如此。
网络安全计划对客户信任和品牌忠诚度的影响怎么强调都不为过,大规模的违规行为可能导致圣经规模的外流。相比之下,通过将严格的安全措施与核心品牌价值观相结合,您可以传达一个明确的信息,即数据隐私和保护不仅是头等大事,而且是客户可以信赖的。
现代首席信息安全官必须花时间强调安全战略和政策的竞争优势,因为这与持续的积极客户情绪和信任有关;光靠被动安全不会产生同样的影响,侧重于利用所有可用资源保护特权资产的平衡方法可能是最终的差异化因素。
没有借口的余地了,但是首席信息安全官在为真正具有变革性的安全战略寻求充足资金的过程中可以强调很多令人信服的理由。
这篇文章首次出现在 SC 杂志。它已在此处更新和合并。
首席信息安全官发现自己处于越来越紧张的境地:保护更多资产,发布更多代码,减少更大的攻击面,并利用迅速减少的财务资源来做到这一点。网络安全被视为成本中心是不可避免的事实,尽管组织的安全计划阻碍了威胁行为者成为明天的灾难性头条,但安全领导者必须采取更多措施,用对执行机构来说合理的语言进行推销和证明该部门的整体商业价值。
世界一流的首席信息安全官正在挺身而出,领导全面的安全计划,以增强客户信任和品牌声誉,并利用所有可用的工具来创造不可否认的价值。它首先要采取战略性的预防性方法来应对常见的安全漏洞,并抛开永远没有足够的时间、资源或人员来保持卓越安全水平的心态。
更改董事会会议室中的讨论。
在当前的经济环境下,很少有公司和部门因其花费、招聘人员及其对业务目标的战略影响而逃脱审查。尽管现代企业需要广泛的网络安全计划似乎不费吹灰之力,但这给组织带来了巨大的成本,从投资回报率来看,这并不容易证明其合理性。
C-Suite领导者和董事会利益相关者需要清楚地了解投资网络安全计划的预期结果,这些术语除了电子表格中的数字之外还有意义。他们的技术知识和理解水平各不相同,首席信息安全官必须努力通过易于理解的信息来陈述自己的案情。解释该计划的规模、需要保护的内容以及需要启用谁才能提供一流的示例。攻击呈上升趋势, 但是预算跟不上,而打好这场好战首先要通过口头宣传,为其优点辩护。
长期以来,人们一直说,无论垂直领域如何,每家公司都在迅速成为一家科技公司。由于数字优先的方法已成为大多数组织的常态,这意味着巨大的攻击面,需要当时所能提供的最佳保护。安全领导者身兼多职,但一个被忽视的(直到为时已晚)是,他们本质上是客户信任的监护人。作为一种价值主张,这一点怎么强调都不为过,与销售和营销目标同样重要。
证明预防性安全方法的价值。
当前的网络安全统计数据 令人毛骨悚然,但是在赢得更多预算方面,参与FUD和恐吓通常是一种徒劳的策略。公司领导团队中很少有成员会争辩说网络安全不是优先事项,但如果提出利用现有资源取得更好结果的进取战略,他们更有可能接受预算的增加。
根据新星国际安理会最近的研究, 只有 50% 的公司 觉得他们有足够的预算来解决已知的网络安全问题。再加上全球网络攻击 增长了 38% 在2021年至2022年之间,对于普通首席信息安全官来说,这可能是一条更加艰难的前进道路。但是,真正世界一流的安全领导者有能力克服这些痛点,在逆境中进行创新。
在许多情况下,预防比治疗更容易、更简单,网络安全也不例外。全面的安全计划必须远远超出被动措施,还必须包括漏洞管理 是许多首席信息安全官最关心的问题之一,开发人员是该运动不可分割的一部分是有道理的。他们需要动手教育来直面常见的安全漏洞,帮助他们从源头上消除这些问题,并确保他们从一开始就不会投入生产。我们现在已经到了不能继续为低质量、不安全的代码辩解的地步,而提高开发团队的技能是迄今为止针对代码级漏洞的最具成本效益、最有效的补救措施。
首席信息安全官努力保留现有预算至关重要,详细说明基于角色的安全技能提升的好处,尤其是对开发人员而言,比在笨拙的安全技术堆栈中添加下一个 “灵丹妙药” 要快得多。
安全应该是品牌基础的一部分。
大多数首席信息安全官上任并不是为了激发对营销的热情,但这是一个你可以努力的领域,至少在向那些控制开支的人陈述你的观点时是如此。
网络安全计划对客户信任和品牌忠诚度的影响怎么强调都不为过,大规模的违规行为可能导致圣经规模的外流。相比之下,通过将严格的安全措施与核心品牌价值观相结合,您可以传达一个明确的信息,即数据隐私和保护不仅是头等大事,而且是客户可以信赖的。
现代首席信息安全官必须花时间强调安全战略和政策的竞争优势,因为这与持续的积极客户情绪和信任有关;光靠被动安全不会产生同样的影响,侧重于利用所有可用资源保护特权资产的平衡方法可能是最终的差异化因素。
没有借口的余地了,但是首席信息安全官在为真正具有变革性的安全战略寻求充足资金的过程中可以强调很多令人信服的理由。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
这篇文章首次出现在 SC 杂志。它已在此处更新和合并。
首席信息安全官发现自己处于越来越紧张的境地:保护更多资产,发布更多代码,减少更大的攻击面,并利用迅速减少的财务资源来做到这一点。网络安全被视为成本中心是不可避免的事实,尽管组织的安全计划阻碍了威胁行为者成为明天的灾难性头条,但安全领导者必须采取更多措施,用对执行机构来说合理的语言进行推销和证明该部门的整体商业价值。
世界一流的首席信息安全官正在挺身而出,领导全面的安全计划,以增强客户信任和品牌声誉,并利用所有可用的工具来创造不可否认的价值。它首先要采取战略性的预防性方法来应对常见的安全漏洞,并抛开永远没有足够的时间、资源或人员来保持卓越安全水平的心态。
更改董事会会议室中的讨论。
在当前的经济环境下,很少有公司和部门因其花费、招聘人员及其对业务目标的战略影响而逃脱审查。尽管现代企业需要广泛的网络安全计划似乎不费吹灰之力,但这给组织带来了巨大的成本,从投资回报率来看,这并不容易证明其合理性。
C-Suite领导者和董事会利益相关者需要清楚地了解投资网络安全计划的预期结果,这些术语除了电子表格中的数字之外还有意义。他们的技术知识和理解水平各不相同,首席信息安全官必须努力通过易于理解的信息来陈述自己的案情。解释该计划的规模、需要保护的内容以及需要启用谁才能提供一流的示例。攻击呈上升趋势, 但是预算跟不上,而打好这场好战首先要通过口头宣传,为其优点辩护。
长期以来,人们一直说,无论垂直领域如何,每家公司都在迅速成为一家科技公司。由于数字优先的方法已成为大多数组织的常态,这意味着巨大的攻击面,需要当时所能提供的最佳保护。安全领导者身兼多职,但一个被忽视的(直到为时已晚)是,他们本质上是客户信任的监护人。作为一种价值主张,这一点怎么强调都不为过,与销售和营销目标同样重要。
证明预防性安全方法的价值。
当前的网络安全统计数据 令人毛骨悚然,但是在赢得更多预算方面,参与FUD和恐吓通常是一种徒劳的策略。公司领导团队中很少有成员会争辩说网络安全不是优先事项,但如果提出利用现有资源取得更好结果的进取战略,他们更有可能接受预算的增加。
根据新星国际安理会最近的研究, 只有 50% 的公司 觉得他们有足够的预算来解决已知的网络安全问题。再加上全球网络攻击 增长了 38% 在2021年至2022年之间,对于普通首席信息安全官来说,这可能是一条更加艰难的前进道路。但是,真正世界一流的安全领导者有能力克服这些痛点,在逆境中进行创新。
在许多情况下,预防比治疗更容易、更简单,网络安全也不例外。全面的安全计划必须远远超出被动措施,还必须包括漏洞管理 是许多首席信息安全官最关心的问题之一,开发人员是该运动不可分割的一部分是有道理的。他们需要动手教育来直面常见的安全漏洞,帮助他们从源头上消除这些问题,并确保他们从一开始就不会投入生产。我们现在已经到了不能继续为低质量、不安全的代码辩解的地步,而提高开发团队的技能是迄今为止针对代码级漏洞的最具成本效益、最有效的补救措施。
首席信息安全官努力保留现有预算至关重要,详细说明基于角色的安全技能提升的好处,尤其是对开发人员而言,比在笨拙的安全技术堆栈中添加下一个 “灵丹妙药” 要快得多。
安全应该是品牌基础的一部分。
大多数首席信息安全官上任并不是为了激发对营销的热情,但这是一个你可以努力的领域,至少在向那些控制开支的人陈述你的观点时是如此。
网络安全计划对客户信任和品牌忠诚度的影响怎么强调都不为过,大规模的违规行为可能导致圣经规模的外流。相比之下,通过将严格的安全措施与核心品牌价值观相结合,您可以传达一个明确的信息,即数据隐私和保护不仅是头等大事,而且是客户可以信赖的。
现代首席信息安全官必须花时间强调安全战略和政策的竞争优势,因为这与持续的积极客户情绪和信任有关;光靠被动安全不会产生同样的影响,侧重于利用所有可用资源保护特权资产的平衡方法可能是最终的差异化因素。
没有借口的余地了,但是首席信息安全官在为真正具有变革性的安全战略寻求充足资金的过程中可以强调很多令人信服的理由。
目录
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
