以下是首席信息安全官應該考慮和解決的8個經(jīng)常被忽視的事項和問題。
1.確保第三方合作伙伴保持強大的安全性
企業(yè)的第三方合作伙伴(包括客戶和服務提供商等)面臨著一些安全挑戰(zhàn),那些不斷監(jiān)視并致力于擴大攻擊范圍的網(wǎng)絡犯罪分子經(jīng)常將企業(yè)的第三方合作伙伴作為攻擊目標。數(shù)據(jù)情報軟件開發(fā)商Collibra公司首席信息安全官 Myke Lyons建議,企業(yè)首席信息安全官應該與合作伙伴緊密合作,以確保他們認真遵循最佳安全實踐。他說:“目前并沒有一種明確或簡單的方法,但是評估供應商、數(shù)據(jù)庫、第三方流程以及與提供商的連接至關重要。而治理是關鍵。”
2.研究創(chuàng)新機會
經(jīng)過多年的工作,許多首席信息安全官陷入一種墨守成規(guī)的困境,幾乎完全專注于滿足基本業(yè)務的安全要求并保持低調(diào),這種狀況將不可避免地會面臨問題。在線住宅銷售服務商Opendoor公司的首席信息安全官Noah Beddome警告說:“如果我們不進行創(chuàng)新,很快就會發(fā)現(xiàn)自己在業(yè)務增長中難以保持與時俱進。”
隨著時間的推移,沒有帶領團隊進行創(chuàng)新的首席信息安全官不僅損害企業(yè)的運營,也將損害企業(yè)的聲譽。Beddome說:“我們需要推動IT和業(yè)務團隊進行創(chuàng)新,并將一些思想轉(zhuǎn)變?yōu)榻ㄗh,不要害怕失敗。即使最終結果不是計劃的那樣理想,也會帶來巨大的進展。”
3.了解企業(yè)的數(shù)據(jù)足跡
人們不可能保護尚未完全理解的東西。在許多代價高昂的數(shù)據(jù)泄露事件中都發(fā)生在那些不知道自己所存儲的數(shù)據(jù)量、類型、時間或位置的企業(yè)。CSAA保險集團首席技術官兼技術監(jiān)督主管Marlys Rodgers說,“企業(yè)了解開始時所繼承的數(shù)據(jù)以及持續(xù)擴散的數(shù)據(jù)非常重要。”
Rodgers表示,首席信息安全官還需要充分了解其直接控制范圍之外的數(shù)據(jù)量和范圍。 Rodgers指出:“首席信息安全官需要知道誰擁有這些數(shù)據(jù),以及采用了哪些控件,與自己直接控制的數(shù)據(jù)一樣重要,以及如何以及在哪里泄露數(shù)據(jù)的漏洞。”
4.加強安全團隊的支持和關注
首席信息安全官應該專注于在支持團隊并使其成功的文化和環(huán)境中進行建設和運營。商業(yè)咨詢機構Capgemini公司的網(wǎng)絡部門首席戰(zhàn)略官Joe McMann說,“有效的網(wǎng)絡安全在很大程度上是一種授權的文化和不斷發(fā)展的環(huán)境的結果,這種文化和環(huán)境始于高層領導者。”
McMann建議,如果其團隊未能成功解決關鍵風險領域或即使在管理支持下也無法協(xié)同工作,則首席信息安全官應該分析其安全運營并考慮改變方向。他補充說:“最后,首席信息安全官必須確保其團隊與戰(zhàn)略合作伙伴合作,以幫助他們實現(xiàn)這些目標并與整體文化和戰(zhàn)略保持一致。”
5.前瞻性思考
全球網(wǎng)絡威脅形勢在不斷發(fā)展。全球技術研究和咨詢公司信息服務集團網(wǎng)絡安全總監(jiān)Doug Saylors表示:“從戰(zhàn)術角度來看,進行時間點評估是可以理解的,但通常無法滿足首席信息安全官應解決的戰(zhàn)略目標。許多首席信息安全官如此專注于處理安全的戰(zhàn)術方面,以至于戰(zhàn)略考慮常常被忽視。將安全性作為一種事后考慮,這可能會留下巨大的漏洞,使企業(yè)容易受到這些漏洞的影響。”
Saylors估計,80%的首席信息安全官將專注于戰(zhàn)術目標和戰(zhàn)略目標。他說:“另外20%的人擔任首席信息安全官角色已有十年以上,并且了解戰(zhàn)略和業(yè)務影響的重要性。”
Saylors建議,通過檢查企業(yè)在過去16到18個月中的發(fā)展情況,并利用這些見識更新網(wǎng)絡安全路線圖,將首席信息安全官角色提升到戰(zhàn)略水平。如果需要,可以利用市場上可以幫助提高商品安全功能的提供商,以釋放首席信息安全官和高級網(wǎng)絡安全工程資源,以重新獲得戰(zhàn)略優(yōu)勢。
6.維持現(xiàn)有安全投資的回報
在安全工具、網(wǎng)絡人才和事件響應過程方面的投資不能被擱置。所有這些都需要定期測試,以確保他們?nèi)匀荒軌驅(qū)崿F(xiàn)計劃的目標。商業(yè)咨詢機構Booz Allen Hamilton公司執(zhí)行副總裁Andrew Turner說:“首席信息安全官在工具和人力資本中部署技術資源來配置這些工具,并開發(fā)流程以檢測和應對網(wǎng)絡攻擊。然而,這些工具和計劃的真正有效性往往只有在發(fā)生重安全大事件時才得到真正的檢驗。”
Turner建議,企業(yè)在多個層面實施持續(xù)測試計劃,從桌面練習到技術測試。而團隊通過持續(xù)反饋和知識轉(zhuǎn)移緊密合作,可以最大限度地提高網(wǎng)絡能力。Turner說:“頻繁和反復的桌面練習可以增強團隊成員的記憶。技術測試驗證企業(yè)的安全堆棧工具是否阻止或記錄惡意活動,以及在企業(yè)的運營環(huán)境中發(fā)生惡意活動時是否啟動優(yōu)化分析。”
7.尋找建立企業(yè)管理統(tǒng)一性的方法
企業(yè)安全、IT和業(yè)務團隊通常在獨立的孤島中運作,從而阻礙了有效的溝通和迅速的問題修復。首席信息安全官鼓勵各方之間的合作,結合業(yè)務目標驅(qū)動的全??捎^察性策略,可以幫助其更有效地集成企業(yè)安全性。
思科公司主要負責應用性能管理和IT運營分析技術的首席技術官Gregg Ostrowski表示,首席信息安全官需要成為協(xié)作和創(chuàng)新的驅(qū)動力,提供與各種團隊文化相結合的領導力。他解釋說:“通過更好地與首席信息官和其他業(yè)務部門負責人保持一致,首席信息安全官可以營造一個工作環(huán)境,使安全和IT團隊能夠緊密配合,建立成功的品牌。”
首席信息安全官和安全團隊長期以來一直被指責為阻礙技術創(chuàng)新。Ostrowski說:“現(xiàn)在,企業(yè)比以往任何時候都更需要建立一種文化,使其團隊能夠朝著總體業(yè)務目標邁進。”
8.開發(fā)一種真正有效的方法來增強威脅意識
缺乏威脅意識不利于企業(yè)安全規(guī)劃。無法充分監(jiān)測威脅趨勢可能導致技術、服務和實踐與實際風險、威脅和對手沒有明確聯(lián)系。SAIC公司首席信息安全官 Alicia Lynch警告說:“雖然企業(yè)采用的技術越來越豐富和越來越先進,但安全性卻很差。”該公司主要為政府客戶提供與IT相關的服務和支持。
Lynch建議,需要建立一個流程,收集和過濾有關觀察到的關鍵趨勢的信息,并將這些見解與內(nèi)部組織情報相融合,以識別在網(wǎng)絡攻擊者攻擊之前需要解決的安全漏洞。她說:“如果沒有成熟的方法來過濾噪音,并專注于與其組織相關的項目,首席信息安全官將會錯過與安全性相關的關鍵情報。”
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號