以下是首席信息安全官應該考慮和解決的8個經常被忽視的事項和問題。
1.確保第三方合作伙伴保持強大的安全性
企業的第三方合作伙伴(包括客戶和服務提供商等)面臨著一些安全挑戰,那些不斷監視并致力于擴大攻擊范圍的網絡犯罪分子經常將企業的第三方合作伙伴作為攻擊目標。數據情報軟件開發商Collibra公司首席信息安全官MykeLyons建議,企業首席信息安全官應該與合作伙伴緊密合作,以確保他們認真遵循最佳安全實踐。他說:“目前并沒有一種明確或簡單的方法,但是評估供應商、數據庫、第三方流程以及與提供商的連接至關重要。而治理是關鍵。”
2.研究創新機會
經過多年的工作,許多首席信息安全官陷入一種墨守成規的困境,幾乎完全專注于滿足基本業務的安全要求并保持低調,這種狀況將不可避免地會面臨問題。在線住宅銷售服務商Opendoor公司的首席信息安全官NoahBeddome警告說:“如果我們不進行創新,很快就會發現自己在業務增長中難以保持與時俱進。”
隨著時間的推移,沒有帶領團隊進行創新的首席信息安全官不僅損害企業的運營,也將損害企業的聲譽。Beddome說:“我們需要推動IT和業務團隊進行創新,并將一些思想轉變為建議,不要害怕失敗。即使最終結果不是計劃的那樣理想,也會帶來巨大的進展。”
3.了解企業的數據足跡
人們不可能保護尚未完全理解的東西。在許多代價高昂的數據泄露事件中都發生在那些不知道自己所存儲的數據量、類型、時間或位置的企業。CSAA保險集團首席技術官兼技術監督主管MarlysRodgers說,“企業了解開始時所繼承的數據以及持續擴散的數據非常重要。”
Rodgers表示,首席信息安全官還需要充分了解其直接控制范圍之外的數據量和范圍。Rodgers指出:“首席信息安全官需要知道誰擁有這些數據,以及采用了哪些控件,與自己直接控制的數據一樣重要,以及如何以及在哪里泄露數據的漏洞。”
4.加強安全團隊的支持和關注
首席信息安全官應該專注于在支持團隊并使其成功的文化和環境中進行建設和運營。商業咨詢機構Capgemini公司的網絡部門首席戰略官JoeMcMann說,“有效的網絡安全在很大程度上是一種授權的文化和不斷發展的環境的結果,這種文化和環境始于高層領導者。”
McMann建議,如果其團隊未能成功解決關鍵風險領域或即使在管理支持下也無法協同工作,則首席信息安全官應該分析其安全運營并考慮改變方向。他補充說:“最后,首席信息安全官必須確保其團隊與戰略合作伙伴合作,以幫助他們實現這些目標并與整體文化和戰略保持一致。”
5.前瞻性思考
全球網絡威脅形勢在不斷發展。全球技術研究和咨詢公司信息服務集團網絡安全總監DougSaylors表示:“從戰術角度來看,進行時間點評估是可以理解的,但通常無法滿足首席信息安全官應解決的戰略目標。許多首席信息安全官如此專注于處理安全的戰術方面,以至于戰略考慮常常被忽視。將安全性作為一種事后考慮,這可能會留下巨大的漏洞,使企業容易受到這些漏洞的影響。”
Saylors估計,80%的首席信息安全官將專注于戰術目標和戰略目標。他說:“另外20%的人擔任首席信息安全官角色已有十年以上,并且了解戰略和業務影響的重要性。”
Saylors建議,通過檢查企業在過去16到18個月中的發展情況,并利用這些見識更新網絡安全路線圖,將首席信息安全官角色提升到戰略水平。如果需要,可以利用市場上可以幫助提高商品安全功能的提供商,以釋放首席信息安全官和高級網絡安全工程資源,以重新獲得戰略優勢。
6.維持現有安全投資的回報
在安全工具、網絡人才和事件響應過程方面的投資不能被擱置。所有這些都需要定期測試,以確保他們仍然能夠實現計劃的目標。商業咨詢機構BoozAllenHamilton公司執行副總裁AndrewTurner說:“首席信息安全官在工具和人力資本中部署技術資源來配置這些工具,并開發流程以檢測和應對網絡攻擊。然而,這些工具和計劃的真正有效性往往只有在發生重安全大事件時才得到真正的檢驗。”
Turner建議,企業在多個層面實施持續測試計劃,從桌面練習到技術測試。而團隊通過持續反饋和知識轉移緊密合作,可以最大限度地提高網絡能力。Turner說:“頻繁和反復的桌面練習可以增強團隊成員的記憶。技術測試驗證企業的安全堆棧工具是否阻止或記錄惡意活動,以及在企業的運營環境中發生惡意活動時是否啟動優化分析。”
7.尋找建立企業管理統一性的方法
企業安全、IT和業務團隊通常在獨立的孤島中運作,從而阻礙了有效的溝通和迅速的問題修復。首席信息安全官鼓勵各方之間的合作,結合業務目標驅動的全棧可觀察性策略,可以幫助其更有效地集成企業安全性。
思科公司主要負責應用性能管理和IT運營分析技術的首席技術官GreggOstrowski表示,首席信息安全官需要成為協作和創新的驅動力,提供與各種團隊文化相結合的領導力。他解釋說:“通過更好地與首席信息官和其他業務部門負責人保持一致,首席信息安全官可以營造一個工作環境,使安全和IT團隊能夠緊密配合,建立成功的品牌。”
首席信息安全官和安全團隊長期以來一直被指責為阻礙技術創新。Ostrowski說:“現在,企業比以往任何時候都更需要建立一種文化,使其團隊能夠朝著總體業務目標邁進。”
8.開發一種真正有效的方法來增強威脅意識
缺乏威脅意識不利于企業安全規劃。無法充分監測威脅趨勢可能導致技術、服務和實踐與實際風險、威脅和對手沒有明確聯系。SAIC公司首席信息安全官AliciaLynch警告說:“雖然企業采用的技術越來越豐富和越來越先進,但安全性卻很差。”該公司主要為政府客戶提供與IT相關的服務和支持。
Lynch建議,需要建立一個流程,收集和過濾有關觀察到的關鍵趨勢的信息,并將這些見解與內部組織情報相融合,以識別在網絡攻擊者攻擊之前需要解決的安全漏洞。她說:“如果沒有成熟的方法來過濾噪音,并專注于與其組織相關的項目,首席信息安全官將會錯過與安全性相關的關鍵情報。”
