思科安全主管:首席信息安全官們需要關(guān)注的4件事

責(zé)任編輯:editor005

作者:litao984lt編譯

2015-09-08 14:39:34

摘自:機(jī)房360

摘要:思科的首席安全咨詢師詹姆斯·莫布里概述了企業(yè)首席信息安全官們亟待發(fā)展自身在四大方面的技能,以便能夠跟上企業(yè)安全的快速變化的需求。

摘要:思科的首席安全咨詢師詹姆斯·莫布里概述了企業(yè)首席信息安全官們亟待發(fā)展自身在四大方面的技能,以便能夠跟上企業(yè)安全的快速變化的需求。根據(jù)思科安全解決方案的負(fù)責(zé)人表示,鑒于支持網(wǎng)絡(luò)攻擊犯罪的基礎(chǔ)設(shè)施變得能夠更有效地加快發(fā)展新的安全威脅,這迫使企業(yè)的首席信息安全官們需要不斷加強(qiáng)新技能的學(xué)習(xí),以確保其所在企業(yè)業(yè)務(wù)和所處工作環(huán)境的安全發(fā)展。

根據(jù)思科安全解決方案的負(fù)責(zé)人表示,鑒于支持網(wǎng)絡(luò)攻擊犯罪的基礎(chǔ)設(shè)施變得能夠更有效地加快發(fā)展新的安全威脅,這迫使企業(yè)的首席信息安全官們需要不斷加強(qiáng)新技能的學(xué)習(xí),以確保其所在企業(yè)業(yè)務(wù)和所處工作環(huán)境的安全發(fā)展。

他們必須對網(wǎng)絡(luò)安全有扎實過硬的知識,而且還必須能夠很好地溝通,發(fā)掘并管理企業(yè)內(nèi)部安全人才,準(zhǔn)備預(yù)判安全威脅環(huán)境將如何發(fā)生變化,思科安全解決方案副總裁詹姆斯·莫布里表示說。詹姆斯·莫布里曾擔(dān)任安全咨詢公司Neohapsis的前任CEO,該公司去年被思科收購。

在他的日常工作中,莫布里經(jīng)常需要與一些企業(yè)的首席信息安全官們保持聯(lián)系,與他們探討他們當(dāng)前所面臨的困難和挑戰(zhàn),以及他們?yōu)榱吮苊獍l(fā)生數(shù)據(jù)泄露和安全威脅事件而損害他們的業(yè)務(wù)所正在采取的相關(guān)措施。

最近,Network World網(wǎng)站高級編輯提姆·格林尼的采訪,并就這些挑戰(zhàn)和困難,以及首席信息安全官們應(yīng)該如何應(yīng)對他們角色的改變等相關(guān)話題談到了自己的看法。以下是采訪實錄。

Network World(NWW):在現(xiàn)如今這樣一個瞬息萬變且充滿活力的企業(yè)市場環(huán)境下,如果要您為想要獲得成功的企業(yè)首席信息安全官(CISO)們提出一些建設(shè)性的意見和建議的話,排名前四或前五位的建議有哪些?

莫布里:首先,而且也是最重要的是,CISO們?nèi)匀恍枰獙τ诎踩瓌t有很深刻的理解,需要了解安全涉及到了三大主要領(lǐng)域:人員、流程和技術(shù)。

其次,盡可能多的對于圍繞安全威脅的因素有廣泛的理解。安全性實際上是以安全威脅為中心的,其是關(guān)乎理解如何構(gòu)建一款在任何情況下,均能夠為您企業(yè)的業(yè)務(wù)帶來最大的靈活性的平臺。您必須預(yù)見到安全事態(tài)的發(fā)展,并確保您企業(yè)所構(gòu)建的平臺能夠非常迅速的擴(kuò)展,和非常迅速的調(diào)整。我想說,務(wù)必要牢記這一點,以安全威脅為中心,并了解所有安全威脅的動機(jī)所在。

領(lǐng)導(dǎo)能力將是下一個需要關(guān)注的方面。鑒于現(xiàn)如今企業(yè)首席信息安全官們的角色定位正在不斷演變升級,因此他們需要具備強(qiáng)有力的戰(zhàn)略領(lǐng)導(dǎo)能力,這不僅能夠讓他們能夠很好的領(lǐng)導(dǎo)所屬的機(jī)構(gòu),并且還能夠引領(lǐng)企業(yè)內(nèi)部組織架構(gòu)的變化。這并不是很容易的事。這需要涉及到各種能力的整合,而這種多能力的整合尚未在多數(shù)CISO身上被看到或被發(fā)掘出來。

除上述之外,我只想簡單的說CISO們需要確定如何在人才嚴(yán)重短缺的環(huán)境中打造一支企業(yè)內(nèi)部的團(tuán)隊。您要如何將手下人員組織起來,加速學(xué)習(xí)能力,并提高整個企業(yè)圍繞著安全的IQ?您必須找到各種發(fā)掘和培養(yǎng)人才的方法,不僅要讓他們能夠更好的發(fā)揮自身的潛能,而且要關(guān)注留住人才的方法。您怎么才能做好管理呢?我認(rèn)為這是企業(yè)的首席信息安全官們所面臨的一大主要挑戰(zhàn),首席信息安全官們最好的是要能夠很好的吸引人才,發(fā)掘人才和留住人才。

首席信息安全官的角色定位是如何發(fā)生轉(zhuǎn)變的?

與早些日子的關(guān)注所有管理領(lǐng)域相比較,我認(rèn)為他們現(xiàn)在的角色定位更傾向于具有戰(zhàn)略性質(zhì),所以,我們現(xiàn)在看到很多首席信息安全官要么直接向CIO報告或者不再是CIO的下屬,而需要與CIO一起向CFO或COO匯報。

我認(rèn)為這很重要,因為企業(yè)大部分的策略的推出均來自企業(yè)頂層,而一旦企業(yè)頂層的理念與首席信息安全官們的想法一致,他們就會有更好的機(jī)會去實施他們的計劃。

企業(yè)網(wǎng)絡(luò)環(huán)境如何變化?

這方面有一系列的例子都是圍繞著影子IT的。許多企業(yè)甚至不熟悉他們允許員工訪問的基于云的系統(tǒng)。這也意味著企業(yè)不熟悉員工使用的所有的主要平臺,從而增加了安全風(fēng)險。所以您看到了影子IT的出現(xiàn),您可以看到企業(yè)員工隨意下載移動應(yīng)用程序。有數(shù)據(jù)顯示,大約97%的安卓移動應(yīng)用程序都有某種程度的安全或隱私風(fēng)險,而這些應(yīng)用程序都是被企業(yè)員工下載的,這些應(yīng)用程序也可能通過其所安裝設(shè)備上的應(yīng)用程序窺探到了企業(yè)的數(shù)據(jù)信息。

然后,還有物聯(lián)網(wǎng)。這意味著會有很多設(shè)備和不同的人能夠?qū)崿F(xiàn)互聯(lián),但大多數(shù)設(shè)備其實沒有被連接或是未受保護(hù)的設(shè)備。在我們擔(dān)任顧問期間,我們做了大量工作,了解到諸如輸液泵和家庭自動化系統(tǒng)等等現(xiàn)在都擁有IP地址。我們可以看到融合的設(shè)備正在創(chuàng)造一個相當(dāng)有趣的挑戰(zhàn),但企業(yè)首席信息安全官們必須跟上這一趨勢。這種不斷變化的業(yè)務(wù)模型正是他們所面臨的最大問題之一。

另一個是復(fù)雜度。我們總是說,在安全管理中,最薄弱的環(huán)節(jié)是人。而我們現(xiàn)在則將技術(shù)將到這一最薄弱環(huán)節(jié)的人的手中,首席信息安全官們對于這些人的實際操作可能具有、也可能不具有可視性。我認(rèn)為首席信息安全官們遇到的挑戰(zhàn)是,很多安全攻擊仍然發(fā)生在應(yīng)用程序?qū)?,而企業(yè)現(xiàn)在對于這些應(yīng)用程序只有較少的可視度,這將在員工操作過程中帶來風(fēng)險增加的機(jī)會。

我認(rèn)為這另一方面關(guān)乎到設(shè)備數(shù)據(jù)損失的標(biāo)準(zhǔn)。企業(yè)有些數(shù)據(jù)是可以丟失的,無論其是從平板電腦,還是從移動設(shè)備,所以這是一個組合因素,更不要說有時這些已經(jīng)是超出您企業(yè)范圍的第三方和企業(yè)外部的應(yīng)用程序了。

我認(rèn)為,當(dāng)您隨著企業(yè)業(yè)務(wù)活動范圍的擴(kuò)展,設(shè)備和人員均是這一系統(tǒng)的一部分,包括第三方,那么相關(guān)安全風(fēng)險相當(dāng)會明顯上升。

您怎么看待首席信息安全官應(yīng)對這些變化?

所以現(xiàn)在我們開始看到由首席信息安全官們所推動的試圖把事情簡單化的運(yùn)動,以便確保能夠從技術(shù)整合中獲得價值最大化,確保企業(yè)環(huán)境管理能夠更容易。

現(xiàn)在,我們?nèi)绾慰创刮覀兡軌虮欢ㄎ粸橐?guī)?;⒈欢ㄎ粸椴迦胄录夹g(shù)的能力、使得環(huán)境管理更容易、連接更容易的安全架構(gòu)的方式?這就是我們所看到的首席信息安全官們所更多推動的其他趨勢:“讓我們來打造一幅企業(yè)藍(lán)圖來推動業(yè)務(wù)發(fā)展”,而不只是擔(dān)心戰(zhàn)術(shù)方面的問題,如“我怎么看到企業(yè)環(huán)境中的漏洞?”

首席信息安全官們?nèi)绾卧u價環(huán)境安全威脅的變化?

如果說真有什么實質(zhì)性的轉(zhuǎn)變的話,那就是安全攻擊性質(zhì)的轉(zhuǎn)變了。他們更先進(jìn),因為攻擊者有了更好的資助,并且有更多的資源投入逃避防御所需的技術(shù)類型。這對于可視化和能見度造成了一大挑戰(zhàn),因為如果攻擊正變得越來越先進(jìn),企業(yè)必須具備看到這些攻擊的能力,并在當(dāng)有些安全攻擊事件正在發(fā)生時確定的能力,這樣就可以對安全攻擊事件更快的做出響應(yīng)。

所以更高級先進(jìn)的攻擊意味著我們現(xiàn)在可以看到企業(yè)的首席信息安全官們需要尋找更多的安全威脅情報,大數(shù)據(jù)分析,這樣他們就可以不僅僅是通過指標(biāo)來分析安全風(fēng)險,還需要通過數(shù)據(jù)分析來識別與他們環(huán)境相關(guān)的各個方面——包括防火墻,終端,電子郵件,網(wǎng)絡(luò),并充分利用所有這些數(shù)據(jù),以試圖進(jìn)行分析和預(yù)判。

首席信息安全官們?nèi)绾翁幚砗细駟T工短缺的問題?

當(dāng)我們在與來自不同公司的首席信息安全官聊天時,我們往往會碰到有大量首席信息安全官抱怨招不到合適人才的問題。因此,當(dāng)您思考分析這方面的問題時,會開始一點點的轉(zhuǎn)向如何獲得更高的可視化,自動化的能力,提升不同的業(yè)務(wù)合作的能力,并找到方法以促進(jìn)合作環(huán)境的建立,使您企業(yè)可以充分利用跨企業(yè)的人才。我們除了在首席信息安全官們那里看到他們?nèi)绾胃杆俚恼衅溉瞬胖?,上述思路是我們從與他們的探討中較多涉及的。我們還看到他們更多的實施員工培訓(xùn)計劃,他們試圖把剛剛走出校門的聰明畢業(yè)生盡快培養(yǎng)成熟練員工。我認(rèn)為所有的事情都是積極的,但人才短缺似乎是一個挑戰(zhàn),但試圖填補(bǔ)會有很大的差距。

在您看來,首席信息安全官們?yōu)榱藙?chuàng)建安全的網(wǎng)絡(luò)都采用了什么辦法呢?

我們經(jīng)常聽到的是,“首先,讓我確保我沒有任何明顯的缺陷。”當(dāng)這種情況發(fā)生時,通常他們正在尋找?guī)准虑?。他們會查看任何?yīng)用程序:“我的應(yīng)用程序安全嗎?”,或者正在努力確保首先是網(wǎng)絡(luò),然后是基礎(chǔ)設(shè)施和應(yīng)用程序的安全性。他們花了大量的時間在應(yīng)用程序上,并試圖確保該應(yīng)用程序是安全的,而網(wǎng)絡(luò)也得到了適當(dāng)分割,部署了恰當(dāng)?shù)?安全框架。

這些都是需要做的工作,然后需要重點關(guān)注周圍人的反應(yīng)。正是圍繞周圍人的反應(yīng),使他們能夠做好準(zhǔn)備工作,然后是關(guān)于一旦發(fā)生突發(fā)安全事故,如何快速整合,遏制和回到工作狀態(tài)中。

首席信息安全官們是如何看待物聯(lián)網(wǎng)的?

我想說的是,如果有一個領(lǐng)域每個人都知道其即將到來,而且其是通過很多方式定義的,那便是IoT或者說是整個IoE(Internet of Everything),這將是非常有趣的。我們現(xiàn)在所看到的情況是:“我要在網(wǎng)絡(luò)上使用我的設(shè)備,我想確保其是安全的。”但其真正卻應(yīng)該是:“我怎樣在一個完整的業(yè)務(wù)流程中實現(xiàn)數(shù)字化?我現(xiàn)在如何才能在一個曾經(jīng)是由工業(yè)手段推動的流程中添加傳感器,收集信息,并應(yīng)對安全攻擊,然后使用所有的信息反饋到后端的情報,使我能夠做出決策,這可能是基于市場的決定,針對特定產(chǎn)品的需求,或者可能是決定農(nóng)民如何去對不同的土地施肥,以幫助提高產(chǎn)量?”

首席信息安全官們必須開始深入思考,而不只是試圖填補(bǔ)漏洞。這也是圍繞著促使首席信息安全官角色定位變得更具戰(zhàn)略意義的其中一件事情。除了技術(shù)能力,他們還必須確保他們對于業(yè)務(wù)流程及其如何發(fā)展有著非常敏銳的感知。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號