新的 CXO 职位应运而生:首席零信任官
最近一段时间,网络安全已成为董事会讨论的焦点。当前地缘政治紧张局势和经济不稳定,加剧了网络攻击的威胁,影响着全球各行各业的企业。这些风险真实存在,甚至可能造成毁灭性后果,包括严重的勒索软件攻击以及可能暴露关键客户信息的数据泄露。因此,企业越来越认识到增强韧性和加强网络安全防范的重要性。企业必须从被动应对攻击转为主动规划网络安全战略,以应对不可避免的风险。
近年来,Zero Trust 安全策略受到了广泛关注。其核心原则非常简单:永不信任,始终验证。传统的基于网络边界的安全方法在如今的数字分布式环境中已不再适用,这促使人们采用现代化 Zero Trust 架构。为了确保安全,企业必须验证所有访问其网络和数据的用户、设备以及系统的身份和可信度。
Zero Trust 一直深受企业领导人和董事会成员的青睐。Cloudflare 发布的《Zero Trust 之旅》研究报告显示,86% 的受访者知道 Zero Trust。Zero Trust 不再只是一个概念,而是一项必备要素。随着远程和混合办公成为常态,网络攻击与日俱增,企业意识到必须采用一种全新的网络安全方法。这种战略变革实施起来可能颇具挑战性。尽管许多企业已经开始部署 Zero Trust 流程和技术,但只有少数企业真正完成了全面集成。Cloudflare 的报告表明,65% 的公司已经开始实施 Zero Trust 方法和技术。将 Zero Trust 融入企业运营,仍有许多机会。
为什么要为 Zero Trust 设立首席职位,为什么是现在?
一些跨国公司在其 Zero Trust 计划的实施阶段遇到了挑战。问题经常源于领导和问责不明确。“究竟”谁应该负责确保企业内的 Zero Trust 采用和实施?这种情况下,设立首席 Zero Trust 官 (CZTO) 职位可能会带来改变。
大型企业需要有能力的领导者来驾驭这一切,确保业务运营平稳运行。公司将此类领导责任分配给具有首席头衔的人,例如首席执行官 (CEO) 或首席财务官 (CFO)。这些职位的存在是为了提供方向、制定战略、做出关键决策,以及监督日常运营。他们通常负责向董事会汇报整体表现和执行情况。
同样,大型组织和企业也需要专人负责引领 Zero Trust 之旅。这位领导者应该保持坚定不动摇,并且获得授权在整个组织内实施 Zero Trust。因此,首席Zero Trust官的概念应运而生。“首席Zero Trust官”看似只是一个头衔,却意义重大。它引起了人们的注意,并有潜力克服在实施零信任过程中的许多挑战。
克服采用障碍
首席 Zero Trust 官有助于企业克服在实施 Zero Trust 过程中可能出现的诸多技术挑战。理解并执行某些供应商的复杂架构可能需要时间、大量的培训,或者需要聘请专业服务机构才能获得必备的专业知识。在 Zero Trust 环境中,对用户及设备进行识别和身份验证可能极具挑战性。这迫使企业需要精确地盘点其用户群、用户所属的群组,以及用户使用的应用和设备。
在组织方面,不同团队之间的协调是有效实施 Zero Trust 的关键。打破 IT、网络安全与网络部门之间的隔阂,建立清晰的沟通渠道和召开频繁的团队会议,这些可能都有助于实施统一的安全策略。抵制变革也可能是一个巨大的障碍。领导者应该使用各种策略,例如以身作则、透明沟通以及让员工参与变革流程等,缓解员工的抵制情绪。积极主动地解决问题、提供支持和员工培训机会,这些可能都有助于缓和过渡期带来的担忧。
责任和问责,用什么字眼并不重要
企业是否需要 CZTO?CTO 或 CISO 办公室中目前负责安全事务的人员是否可以担任该职位?公司应根据战略相关性程度来分配职位名称。因此,无论是首席零信任官、零信任主管、零信任副总裁,还是其他什么叫法,这个职位名称必须引人注目,并赋予任职者打破隔阂和克服官僚主义的权力。
新设首席职位并不少见。首席数字化转型官、首席体验官、首席客户官,以及首席数据科学家,这些都是近几年来涌现的众多新职位。首席 Zero Trust 官的职位甚至可能不是长期职位。但是,在公司领导层和董事会的支持下,负责人将拥有能力和远见来推进 Zero Trust 计划。
实现 Zero Trust
对于许多企业来说,转为采用 Zero Trust 安全方法现已势在必行,因为传统的基于边界的安全策略不再足以抵御当今复杂的网络攻击。CZTO 领导力是克服 Zero Trust 实施过程中出现的各种技术和组织障碍的关键。CZTO 将领导 Zero Trust 计划,调整团队并打破障碍,实现无缝部署。CZTO 这一职位凸显了 Zero Trust 在公司中的重要性。它确保 Zero Trust 计划获得必要的关注和资源,从而取得成功。现在聘请 CZTO 的企业,未来将会获得成功。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。