行業(yè)媒體為此采訪了多個(gè)行業(yè)領(lǐng)域的首席信息安全官,以下是他們分享和闡述的主要目標(biāo)和戰(zhàn)略議程。
1.消除盲點(diǎn)
云計(jì)算軟件開發(fā)商Domo公司首席信息安全官兼IT副總裁Suyesh Karki表示,希望消除技術(shù)環(huán)境中的盲點(diǎn),因?yàn)闊o法保護(hù)看不到的東西。
Karki解釋說,“對(duì)于我們的安全團(tuán)隊(duì)來說,了解云計(jì)算應(yīng)用程序、內(nèi)部部署應(yīng)用程序、網(wǎng)絡(luò)、服務(wù)、系統(tǒng)、數(shù)據(jù)庫、帳戶、第三方提供商等方面非常重要,以幫助加強(qiáng)網(wǎng)絡(luò)安全防御。對(duì)于所有硬件、軟件和供應(yīng)鏈資產(chǎn)有一個(gè)完整、準(zhǔn)確、適當(dāng)?shù)膬?yōu)先級(jí)的清單,使我們的安全團(tuán)隊(duì)能夠采取系統(tǒng)的方法來了解需要保護(hù)的內(nèi)容、實(shí)施哪些控制措施來保護(hù)、防御和應(yīng)對(duì)任何不利事件,以及如何識(shí)別和生成能夠完整說明當(dāng)前安全狀況的指標(biāo)。”
2.更好地理解“相互依賴的網(wǎng)絡(luò)”
軟件開發(fā)商Zendesk公司首席信息安全官M(fèi)aarten Van Horenbeeck將在其公司的技術(shù)環(huán)境中更好地理解“相互依賴的網(wǎng)絡(luò)”作為2022年的首要目標(biāo)。
他說,“我想更好地了解這一網(wǎng)格,以便可以采取行動(dòng),并知道如何更好地保護(hù)它。”
盡管網(wǎng)絡(luò)的復(fù)雜性多年來一直在增長,Van Horenbeeck表示,在過去兩年中,發(fā)生了SolarWinds和Log4j等網(wǎng)絡(luò)攻擊事件,讓他更加重視了解構(gòu)成企業(yè)技術(shù)生態(tài)系統(tǒng)的所有活動(dòng)部件的重要性。
為此,Van Horenbeeck對(duì)技術(shù)進(jìn)行了投資,以更全面地了解自己公司的IT環(huán)境。盡管他承認(rèn)完全了解供應(yīng)商代碼的可能性不大,但他仍然希望更詳細(xì)地了解第三方和供應(yīng)商如何與他的公司互連,以及正在訪問哪些數(shù)據(jù),以便他的團(tuán)隊(duì)可以設(shè)計(jì)安全策略來限制他們可能帶來的風(fēng)險(xiǎn)。
3.深入了解供應(yīng)商的IT環(huán)境
科技廠商InfluxData公司的首席信息安全官Peter Albert也有類似的想法。他表示,希望了解供應(yīng)鏈的完整范圍。
他補(bǔ)充說,“很多人認(rèn)為供應(yīng)鏈可能只是與其簽訂合同的公司,但它遠(yuǎn)不止于此。”
例如,他想知道第三方使用的代碼中存在哪些漏洞,供應(yīng)商使用哪些開源資源可能會(huì)增加風(fēng)險(xiǎn)。Albert表示,為了進(jìn)一步限制風(fēng)險(xiǎn),希望對(duì)其SaaS供應(yīng)商實(shí)施更多監(jiān)控,以確保他所在公司的數(shù)據(jù)在供應(yīng)商的IT環(huán)境中的運(yùn)營安全。
他解釋說:“我認(rèn)為,人們對(duì)第三方提供商可能會(huì)監(jiān)控用戶的數(shù)據(jù)存在根本性的誤解,但我們發(fā)現(xiàn)事實(shí)并非如此。因此,我們必須承擔(dān)部分責(zé)任,這意味著從這些提供商那里收集有關(guān)誰在訪問數(shù)據(jù)的見解。”
Albert表示,InfluxData公司的一名員工構(gòu)建了一個(gè)用于獲取SaaS提供商安全日志的原型,而其他員工正在構(gòu)建模型以檢測可能表明安全威脅的異常情況。
4.將平凡的事情做得最好
咨詢機(jī)構(gòu)Booz Allen Hamilton公司首席信息安全官Ashley Devoto表示,希望在尋求加強(qiáng)整體網(wǎng)絡(luò)彈性的過程中,始終專注于基本面。
更具體地說,她想確保有一個(gè)強(qiáng)大的應(yīng)用程序來快速識(shí)別和修復(fù)漏洞;有效實(shí)施補(bǔ)丁的良好流程;良好的員工意識(shí)和培訓(xùn);以及整個(gè)IT環(huán)境的全面可見性。
她始終信奉這一商業(yè)格言,“成功就是將平凡的事情做得最好。”她說,“這句格言引起了我的共鳴。”
她說,“黑客將繼續(xù)進(jìn)行網(wǎng)絡(luò)攻擊,因此我們必須堅(jiān)持不懈進(jìn)行斗爭。通過精通安全知識(shí),我們將提高速度和敏捷性以應(yīng)對(duì)網(wǎng)絡(luò)攻擊。”
此外,Devoto計(jì)劃制定指標(biāo)和關(guān)鍵績效指標(biāo),以衡量她帶領(lǐng)的安全團(tuán)隊(duì)在處理這些基本問題上的效率和改進(jìn)。
聯(lián)合國項(xiàng)目事務(wù)署(UNOPS)的首席信息安全官兼數(shù)據(jù)隱私官Niel Harper也闡述了今年的決議,并詳細(xì)介紹了將如何實(shí)現(xiàn)這一目標(biāo)。
他希望將更多的精力和資源集中在隱私和數(shù)據(jù)上;完善和加強(qiáng)第三方風(fēng)險(xiǎn)管理的控制框架;提高其企業(yè)對(duì)勒索軟件的保護(hù);并繼續(xù)向其他商業(yè)領(lǐng)袖宣傳電子郵件安全的重要性。
5.將安全性進(jìn)一步左移
為了幫助確保她和她的團(tuán)隊(duì)正確掌握安全知識(shí),Devoto計(jì)劃更早地將安全要求嵌入到規(guī)劃和開發(fā)流程中。她說,“我正在優(yōu)先擴(kuò)展我們的預(yù)防控制和能力套件,因?yàn)槲覀冊?lsquo;上游’戰(zhàn)斗以阻止網(wǎng)絡(luò)攻擊。”
有著在2022年將安全性進(jìn)一步左移這樣的想法并不只有她一個(gè)人。軟件開發(fā)商Dynatrace公司發(fā)布的“2021年全球首席信息安全官”報(bào)告指出,在接受調(diào)查的700名首席信息安全官中,89%的受訪者表示微服務(wù)、容器和Kubernetes造成了應(yīng)用程序安全盲點(diǎn),71%的人表示不完全相信代碼在上線運(yùn)營之前是沒有漏洞的。此外,85%的受訪者表示,他們認(rèn)為應(yīng)用程序和DevOps團(tuán)隊(duì)必須對(duì)漏洞管理承擔(dān)更多責(zé)任,以有效保護(hù)企業(yè)。
6.開始擺脫對(duì)密碼的依賴
網(wǎng)絡(luò)安全智囊團(tuán)CIBR公司首席信息安全官Grant Gibson表示,希望他的公司在今年進(jìn)一步遠(yuǎn)離使用密碼進(jìn)行訪問,或者至少遠(yuǎn)離使用密碼作為主要身份驗(yàn)證形式。
他認(rèn)為此舉是提高安全性的關(guān)鍵舉措。
他說:“我們處理密碼已有40年的時(shí)間,但一致認(rèn)為采用密碼也會(huì)被黑客入侵。”
他說,這是意料之中的事情,很多人仍然對(duì)多個(gè)帳戶使用相同的密碼,他們會(huì)選擇簡單的密碼以確保能記住,并且當(dāng)系統(tǒng)需要復(fù)雜密碼時(shí),他們會(huì)將密碼寫在紙上或存儲(chǔ)在電子文件中——盡管經(jīng)常有針對(duì)這種做法的警告。
他還指出,最近備受關(guān)注的網(wǎng)絡(luò)攻擊涉及密碼泄露。
Gibson表示,他正在努力實(shí)施更強(qiáng)大的身份和訪問管理(IAM)控制,這些控制更易于使用,但對(duì)企業(yè)來說更加安全。他承認(rèn),并沒有適合所有企業(yè)的一種萬能的解決方案。
目前,他正在自己的公司內(nèi)部實(shí)施多因素身份驗(yàn)證,因此密碼不是驗(yàn)證用戶身份的唯一方法,他正在探索未來如何徹底消除密碼。
他說,“我們的目標(biāo)是實(shí)現(xiàn)無密碼。而在短期內(nèi),這意味著密碼不能成為唯一的身份驗(yàn)證形式。但從長遠(yuǎn)來看,其目標(biāo)是完全無密碼。”
7.提高敏捷性
萬通銀行企業(yè)網(wǎng)絡(luò)安全主管Ariel Weintraub表示,今年的決議是“更加靈活”。
她說,“網(wǎng)絡(luò)安全計(jì)劃在表現(xiàn)出彈性時(shí)最為成功。過去幾年的網(wǎng)絡(luò)攻擊表明,網(wǎng)絡(luò)攻擊者不斷發(fā)展他們的策略,具有彈性的能力是基于快速調(diào)整優(yōu)先事項(xiàng)的能力。”
她解釋說:“我們正在轉(zhuǎn)向利用日常威脅和脆弱性評(píng)估能力進(jìn)行持續(xù)評(píng)估,使我們能夠識(shí)別、衡量和應(yīng)對(duì)新出現(xiàn)的威脅和風(fēng)險(xiǎn)。這意味著不必害怕暫停或終止某些計(jì)劃,并根據(jù)最新的技術(shù)和措施轉(zhuǎn)向新的計(jì)劃。不必害怕勒索軟件會(huì)破壞他們的整個(gè)基礎(chǔ)設(shè)施。我們將在交付新功能的方式上保持靈活性,以使其不受影響。這樣就無需花費(fèi)數(shù)年時(shí)間來應(yīng)對(duì)新的威脅,而當(dāng)一個(gè)項(xiàng)目不再相關(guān)時(shí)停止,并不是一種失敗。”
8.與企業(yè)建立更好的合作伙伴關(guān)系
加強(qiáng)安全部門與企業(yè)的合作是Van Horenbeeck今年的另一項(xiàng)決議。他說,“我們已經(jīng)這樣做了一段時(shí)間,今年它真正成為我們內(nèi)部的首要任務(wù)。”他解釋說,加強(qiáng)安全性與業(yè)務(wù)的一致性將有助于各個(gè)團(tuán)隊(duì)推進(jìn)他們的目標(biāo)。
Van Horenbeeck表示,包括他自己在內(nèi)的許多安全部門已經(jīng)非常擅長識(shí)別和解決企業(yè)內(nèi)部的頂級(jí)風(fēng)險(xiǎn)。不過,這不會(huì)影響日常工作習(xí)慣和業(yè)務(wù)流程,這些習(xí)慣和業(yè)務(wù)流程通常會(huì)引入較低級(jí)別的安全風(fēng)險(xiǎn),并阻礙建立具有安全意識(shí)的企業(yè)文化的努力。
與企業(yè)建立更強(qiáng)大的合作伙伴關(guān)系將有助于安全識(shí)別產(chǎn)生風(fēng)險(xiǎn)的工作流程,它還將幫助安全部門了解他們的業(yè)務(wù)同事為何重視這些流程。這種結(jié)合以及由伙伴關(guān)系培育更好的關(guān)系,應(yīng)該有助于安全和業(yè)務(wù)共同尋找成功的解決方案。
Van Horenbeeck說。“這實(shí)際上是更多地關(guān)注我們的合作伙伴要去哪里,而不是告訴他們該做什么。”
9.照顧好團(tuán)隊(duì)
UST公司首席信息安全官Tony Velleca表示,今年將更加關(guān)注他們的團(tuán)隊(duì)和員工。
Velleca表示,根據(jù)軟件開發(fā)商1Password公司于2021年12月進(jìn)行的訪問狀態(tài)研究,約84%的安全專業(yè)人員表示感到筋疲力盡。
Velleca說,隨著新冠疫情引發(fā)的不確定性和破壞性的持續(xù),他正在尋找不僅留住人才,而且激勵(lì)人才的方法。
與許多其他公司一樣,Velleca表示,該公司的員工大多在現(xiàn)場工作,而近兩年由于疫情而轉(zhuǎn)為遠(yuǎn)程工作。
Velleca說,該公司計(jì)劃讓員工重返辦公室,當(dāng)然可以選擇遠(yuǎn)程工作,他希望此舉將有助于重新激發(fā)員工的活力。
他還計(jì)劃將重點(diǎn)放在創(chuàng)新項(xiàng)目上,以提高員工的興奮度,并將部署更多自動(dòng)化設(shè)備,將員工從重復(fù)性任務(wù)轉(zhuǎn)移到更具吸引力的更高級(jí)別任務(wù)。
10.招募新人才
MongoDB公司首席信息安全官Lena Smart希望幫助解決安全方面的人才短缺問題,并決定在2022年招聘安全方面的人才。
Smart說,“我計(jì)劃繼續(xù)在指導(dǎo)和支持外部信息安全社區(qū)方面發(fā)揮積極作用。”
她說:“作為首席信息安全官,我經(jīng)常從同事那里聽到招募人才的難度。雖然填補(bǔ)信息安全職位肯定競爭激烈,但我們已經(jīng)看到,從找到具有正確特征的人員并幫助他們了解技術(shù)細(xì)節(jié)的過程中,我們?nèi)〉昧苏嬲e極的成果。”
11.清除多余工具和功能
Oracle公司客戶服務(wù)副總裁兼首席信息安全官Brennan P.Baybeck表示,計(jì)劃清理沒有提供價(jià)值的多余工具和投資,并確定未充分利用的功能。
他說,“我認(rèn)為現(xiàn)在是盤點(diǎn)的好時(shí)機(jī),看看我們有什么可用的工具,在疫情發(fā)生之前我們有什么資源,積累的東西或冗余的功能,并消除那些不符合規(guī)定的流程和技術(shù)戰(zhàn)略。”
Baybeck表示,他計(jì)劃不僅在安全運(yùn)營中采用這種方法,而且還與他的員工一起采用這種方法。他已經(jīng)看到員工所需的技能發(fā)生了變化。因此,他正在花時(shí)間重新評(píng)估職位,以確定哪些專業(yè)人士需要哪些新技能以及哪些角色需要發(fā)展。例如,他決定將一些以合規(guī)性為重點(diǎn)的空缺職位轉(zhuǎn)變?yōu)閷W⒂谔峁└嘧詣?dòng)化、控制和開發(fā)安全工作的工程和開發(fā)人員工作,而所有這些都比合規(guī)性的工作職位更能滿足企業(yè)當(dāng)前和未來的安全需求。
12.為未來做好準(zhǔn)備
Tiro Security公司首席信息安全官兼首席技術(shù)官Jenai Marinkovic也展望了未來,她表示,2022年的主要職業(yè)目標(biāo)是讓安全人員為未來世界做好準(zhǔn)備。
她認(rèn)為需要解決三個(gè)主要問題。
首先,她想讓安全人員準(zhǔn)備好工作并參與智能生態(tài)系統(tǒng)(例如元宇宙)并保護(hù)它們。這意味著了解如何在這個(gè)新世界中互動(dòng)、交流和呈現(xiàn);這也意味著了解技術(shù)和使用它的人員是如何運(yùn)作的,以便可以預(yù)測和解決安全問題。
其次,她希望幫助員工擅長溝通和協(xié)作,作為團(tuán)隊(duì)的一部分工作,以及理解以用戶為中心的設(shè)計(jì)。
第三,她希望安全專業(yè)人員更加關(guān)注業(yè)務(wù)連續(xù)性,以便能夠分解業(yè)務(wù)流程和支持它們的系統(tǒng),因?yàn)檎嬲瞄L這些將是應(yīng)對(duì)網(wǎng)絡(luò)攻擊事件的關(guān)鍵。
Marinkovic已經(jīng)開始在這三個(gè)廣泛的需求領(lǐng)域內(nèi)培訓(xùn)團(tuán)隊(duì),通過Tiro Security公司提供虛擬首席信息安全官服務(wù)。GRCIE公司是一家非營利公司,為美國各地的女性和退伍軍人提供指導(dǎo)和心理支持。
她補(bǔ)充說,“我們的目標(biāo)是讓員工為即將到來的未來做好準(zhǔn)備。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)