以下是首席信息安全官應(yīng)該考慮和解決的8個(gè)經(jīng)常被忽視的事項(xiàng)和問題。
1.確保第三方合作伙伴保持強(qiáng)大的安全性
企業(yè)的第三方合作伙伴(包括客戶和服務(wù)提供商等)面臨著一些安全挑戰(zhàn),那些不斷監(jiān)視并致力于擴(kuò)大攻擊范圍的網(wǎng)絡(luò)犯罪分子經(jīng)常將企業(yè)的第三方合作伙伴作為攻擊目標(biāo)。數(shù)據(jù)情報(bào)軟件開發(fā)商Collibra公司首席信息安全官M(fèi)ykeLyons建議,企業(yè)首席信息安全官應(yīng)該與合作伙伴緊密合作,以確保他們認(rèn)真遵循最佳安全實(shí)踐。他說:“目前并沒有一種明確或簡(jiǎn)單的方法,但是評(píng)估供應(yīng)商、數(shù)據(jù)庫、第三方流程以及與提供商的連接至關(guān)重要。而治理是關(guān)鍵。”
2.研究創(chuàng)新機(jī)會(huì)
經(jīng)過多年的工作,許多首席信息安全官陷入一種墨守成規(guī)的困境,幾乎完全專注于滿足基本業(yè)務(wù)的安全要求并保持低調(diào),這種狀況將不可避免地會(huì)面臨問題。在線住宅銷售服務(wù)商Opendoor公司的首席信息安全官NoahBeddome警告說:“如果我們不進(jìn)行創(chuàng)新,很快就會(huì)發(fā)現(xiàn)自己在業(yè)務(wù)增長(zhǎng)中難以保持與時(shí)俱進(jìn)。”
隨著時(shí)間的推移,沒有帶領(lǐng)團(tuán)隊(duì)進(jìn)行創(chuàng)新的首席信息安全官不僅損害企業(yè)的運(yùn)營(yíng),也將損害企業(yè)的聲譽(yù)。Beddome說:“我們需要推動(dòng)IT和業(yè)務(wù)團(tuán)隊(duì)進(jìn)行創(chuàng)新,并將一些思想轉(zhuǎn)變?yōu)榻ㄗh,不要害怕失敗。即使最終結(jié)果不是計(jì)劃的那樣理想,也會(huì)帶來巨大的進(jìn)展。”
3.了解企業(yè)的數(shù)據(jù)足跡
人們不可能保護(hù)尚未完全理解的東西。在許多代價(jià)高昂的數(shù)據(jù)泄露事件中都發(fā)生在那些不知道自己所存儲(chǔ)的數(shù)據(jù)量、類型、時(shí)間或位置的企業(yè)。CSAA保險(xiǎn)集團(tuán)首席技術(shù)官兼技術(shù)監(jiān)督主管MarlysRodgers說,“企業(yè)了解開始時(shí)所繼承的數(shù)據(jù)以及持續(xù)擴(kuò)散的數(shù)據(jù)非常重要。”
Rodgers表示,首席信息安全官還需要充分了解其直接控制范圍之外的數(shù)據(jù)量和范圍。Rodgers指出:“首席信息安全官需要知道誰擁有這些數(shù)據(jù),以及采用了哪些控件,與自己直接控制的數(shù)據(jù)一樣重要,以及如何以及在哪里泄露數(shù)據(jù)的漏洞。”
4.加強(qiáng)安全團(tuán)隊(duì)的支持和關(guān)注
首席信息安全官應(yīng)該專注于在支持團(tuán)隊(duì)并使其成功的文化和環(huán)境中進(jìn)行建設(shè)和運(yùn)營(yíng)。商業(yè)咨詢機(jī)構(gòu)Capgemini公司的網(wǎng)絡(luò)部門首席戰(zhàn)略官JoeMcMann說,“有效的網(wǎng)絡(luò)安全在很大程度上是一種授權(quán)的文化和不斷發(fā)展的環(huán)境的結(jié)果,這種文化和環(huán)境始于高層領(lǐng)導(dǎo)者。”
McMann建議,如果其團(tuán)隊(duì)未能成功解決關(guān)鍵風(fēng)險(xiǎn)領(lǐng)域或即使在管理支持下也無法協(xié)同工作,則首席信息安全官應(yīng)該分析其安全運(yùn)營(yíng)并考慮改變方向。他補(bǔ)充說:“最后,首席信息安全官必須確保其團(tuán)隊(duì)與戰(zhàn)略合作伙伴合作,以幫助他們實(shí)現(xiàn)這些目標(biāo)并與整體文化和戰(zhàn)略保持一致。”
5.前瞻性思考
全球網(wǎng)絡(luò)威脅形勢(shì)在不斷發(fā)展。全球技術(shù)研究和咨詢公司信息服務(wù)集團(tuán)網(wǎng)絡(luò)安全總監(jiān)DougSaylors表示:“從戰(zhàn)術(shù)角度來看,進(jìn)行時(shí)間點(diǎn)評(píng)估是可以理解的,但通常無法滿足首席信息安全官應(yīng)解決的戰(zhàn)略目標(biāo)。許多首席信息安全官如此專注于處理安全的戰(zhàn)術(shù)方面,以至于戰(zhàn)略考慮常常被忽視。將安全性作為一種事后考慮,這可能會(huì)留下巨大的漏洞,使企業(yè)容易受到這些漏洞的影響。”
Saylors估計(jì),80%的首席信息安全官將專注于戰(zhàn)術(shù)目標(biāo)和戰(zhàn)略目標(biāo)。他說:“另外20%的人擔(dān)任首席信息安全官角色已有十年以上,并且了解戰(zhàn)略和業(yè)務(wù)影響的重要性。”
Saylors建議,通過檢查企業(yè)在過去16到18個(gè)月中的發(fā)展情況,并利用這些見識(shí)更新網(wǎng)絡(luò)安全路線圖,將首席信息安全官角色提升到戰(zhàn)略水平。如果需要,可以利用市場(chǎng)上可以幫助提高商品安全功能的提供商,以釋放首席信息安全官和高級(jí)網(wǎng)絡(luò)安全工程資源,以重新獲得戰(zhàn)略優(yōu)勢(shì)。
6.維持現(xiàn)有安全投資的回報(bào)
在安全工具、網(wǎng)絡(luò)人才和事件響應(yīng)過程方面的投資不能被擱置。所有這些都需要定期測(cè)試,以確保他們?nèi)匀荒軌驅(qū)崿F(xiàn)計(jì)劃的目標(biāo)。商業(yè)咨詢機(jī)構(gòu)BoozAllenHamilton公司執(zhí)行副總裁AndrewTurner說:“首席信息安全官在工具和人力資本中部署技術(shù)資源來配置這些工具,并開發(fā)流程以檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)攻擊。然而,這些工具和計(jì)劃的真正有效性往往只有在發(fā)生重安全大事件時(shí)才得到真正的檢驗(yàn)。”
Turner建議,企業(yè)在多個(gè)層面實(shí)施持續(xù)測(cè)試計(jì)劃,從桌面練習(xí)到技術(shù)測(cè)試。而團(tuán)隊(duì)通過持續(xù)反饋和知識(shí)轉(zhuǎn)移緊密合作,可以最大限度地提高網(wǎng)絡(luò)能力。Turner說:“頻繁和反復(fù)的桌面練習(xí)可以增強(qiáng)團(tuán)隊(duì)成員的記憶。技術(shù)測(cè)試驗(yàn)證企業(yè)的安全堆棧工具是否阻止或記錄惡意活動(dòng),以及在企業(yè)的運(yùn)營(yíng)環(huán)境中發(fā)生惡意活動(dòng)時(shí)是否啟動(dòng)優(yōu)化分析。”
7.尋找建立企業(yè)管理統(tǒng)一性的方法
企業(yè)安全、IT和業(yè)務(wù)團(tuán)隊(duì)通常在獨(dú)立的孤島中運(yùn)作,從而阻礙了有效的溝通和迅速的問題修復(fù)。首席信息安全官鼓勵(lì)各方之間的合作,結(jié)合業(yè)務(wù)目標(biāo)驅(qū)動(dòng)的全棧可觀察性策略,可以幫助其更有效地集成企業(yè)安全性。
思科公司主要負(fù)責(zé)應(yīng)用性能管理和IT運(yùn)營(yíng)分析技術(shù)的首席技術(shù)官GreggOstrowski表示,首席信息安全官需要成為協(xié)作和創(chuàng)新的驅(qū)動(dòng)力,提供與各種團(tuán)隊(duì)文化相結(jié)合的領(lǐng)導(dǎo)力。他解釋說:“通過更好地與首席信息官和其他業(yè)務(wù)部門負(fù)責(zé)人保持一致,首席信息安全官可以營(yíng)造一個(gè)工作環(huán)境,使安全和IT團(tuán)隊(duì)能夠緊密配合,建立成功的品牌。”
首席信息安全官和安全團(tuán)隊(duì)長(zhǎng)期以來一直被指責(zé)為阻礙技術(shù)創(chuàng)新。Ostrowski說:“現(xiàn)在,企業(yè)比以往任何時(shí)候都更需要建立一種文化,使其團(tuán)隊(duì)能夠朝著總體業(yè)務(wù)目標(biāo)邁進(jìn)。”
8.開發(fā)一種真正有效的方法來增強(qiáng)威脅意識(shí)
缺乏威脅意識(shí)不利于企業(yè)安全規(guī)劃。無法充分監(jiān)測(cè)威脅趨勢(shì)可能導(dǎo)致技術(shù)、服務(wù)和實(shí)踐與實(shí)際風(fēng)險(xiǎn)、威脅和對(duì)手沒有明確聯(lián)系。SAIC公司首席信息安全官AliciaLynch警告說:“雖然企業(yè)采用的技術(shù)越來越豐富和越來越先進(jìn),但安全性卻很差。”該公司主要為政府客戶提供與IT相關(guān)的服務(wù)和支持。
Lynch建議,需要建立一個(gè)流程,收集和過濾有關(guān)觀察到的關(guān)鍵趨勢(shì)的信息,并將這些見解與內(nèi)部組織情報(bào)相融合,以識(shí)別在網(wǎng)絡(luò)攻擊者攻擊之前需要解決的安全漏洞。她說:“如果沒有成熟的方法來過濾噪音,并專注于與其組織相關(guān)的項(xiàng)目,首席信息安全官將會(huì)錯(cuò)過與安全性相關(guān)的關(guān)鍵情報(bào)。”
