以下是首席信息安全官应该考虑和解决的8个经常被忽视的事项和问题。
1.确保第三方合作伙伴保持强大的安全性
企业的第三方合作伙伴(包括客户和服务提供商等)面临着一些安全挑战,那些不断监视并致力于扩大攻击范围的网络犯罪分子经常将企业的第三方合作伙伴作为攻击目标。数据情报软件开发商Collibra公司首席信息安全官MykeLyons建议,企业首席信息安全官应该与合作伙伴紧密合作,以确保他们认真遵循最佳安全实践。他说:“目前并没有一种明确或简单的方法,但是评估供应商、数据库、第三方流程以及与提供商的连接至关重要。而治理是关键。”
2.研究创新机会
经过多年的工作,许多首席信息安全官陷入一种墨守成规的困境,几乎完全专注于满足基本业务的安全要求并保持低调,这种状况将不可避免地会面临问题。在线住宅销售服务商Opendoor公司的首席信息安全官NoahBeddome警告说:“如果我们不进行创新,很快就会发现自己在业务增长中难以保持与时俱进。”
随着时间的推移,没有带领团队进行创新的首席信息安全官不仅损害企业的运营,也将损害企业的声誉。Beddome说:“我们需要推动IT和业务团队进行创新,并将一些思想转变为建议,不要害怕失败。即使最终结果不是计划的那样理想,也会带来巨大的进展。”
3.了解企业的数据足迹
人们不可能保护尚未完全理解的东西。在许多代价高昂的数据泄露事件中都发生在那些不知道自己所存储的数据量、类型、时间或位置的企业。CSAA保险集团首席技术官兼技术监督主管MarlysRodgers说,“企业了解开始时所继承的数据以及持续扩散的数据非常重要。”
Rodgers表示,首席信息安全官还需要充分了解其直接控制范围之外的数据量和范围。Rodgers指出:“首席信息安全官需要知道谁拥有这些数据,以及采用了哪些控件,与自己直接控制的数据一样重要,以及如何以及在哪里泄露数据的漏洞。”
4.加强安全团队的支持和关注
首席信息安全官应该专注于在支持团队并使其成功的文化和环境中进行建设和运营。商业咨询机构Capgemini公司的网络部门首席战略官JoeMcMann说,“有效的网络安全在很大程度上是一种授权的文化和不断发展的环境的结果,这种文化和环境始于高层领导者。”
McMann建议,如果其团队未能成功解决关键风险领域或即使在管理支持下也无法协同工作,则首席信息安全官应该分析其安全运营并考虑改变方向。他补充说:“最后,首席信息安全官必须确保其团队与战略合作伙伴合作,以帮助他们实现这些目标并与整体文化和战略保持一致。”
5.前瞻性思考
全球网络威胁形势在不断发展。全球技术研究和咨询公司信息服务集团网络安全总监DougSaylors表示:“从战术角度来看,进行时间点评估是可以理解的,但通常无法满足首席信息安全官应解决的战略目标。许多首席信息安全官如此专注于处理安全的战术方面,以至于战略考虑常常被忽视。将安全性作为一种事后考虑,这可能会留下巨大的漏洞,使企业容易受到这些漏洞的影响。”
Saylors估计,80%的首席信息安全官将专注于战术目标和战略目标。他说:“另外20%的人担任首席信息安全官角色已有十年以上,并且了解战略和业务影响的重要性。”
Saylors建议,通过检查企业在过去16到18个月中的发展情况,并利用这些见识更新网络安全路线图,将首席信息安全官角色提升到战略水平。如果需要,可以利用市场上可以帮助提高商品安全功能的提供商,以释放首席信息安全官和高级网络安全工程资源,以重新获得战略优势。
6.维持现有安全投资的回报
在安全工具、网络人才和事件响应过程方面的投资不能被搁置。所有这些都需要定期测试,以确保他们仍然能够实现计划的目标。商业咨询机构BoozAllenHamilton公司执行副总裁AndrewTurner说:“首席信息安全官在工具和人力资本中部署技术资源来配置这些工具,并开发流程以检测和应对网络攻击。然而,这些工具和计划的真正有效性往往只有在发生重安全大事件时才得到真正的检验。”
Turner建议,企业在多个层面实施持续测试计划,从桌面练习到技术测试。而团队通过持续反馈和知识转移紧密合作,可以最大限度地提高网络能力。Turner说:“频繁和反复的桌面练习可以增强团队成员的记忆。技术测试验证企业的安全堆栈工具是否阻止或记录恶意活动,以及在企业的运营环境中发生恶意活动时是否启动优化分析。”
7.寻找建立企业管理统一性的方法
企业安全、IT和业务团队通常在独立的孤岛中运作,从而阻碍了有效的沟通和迅速的问题修复。首席信息安全官鼓励各方之间的合作,结合业务目标驱动的全栈可观察性策略,可以帮助其更有效地集成企业安全性。
思科公司主要负责应用性能管理和IT运营分析技术的首席技术官GreggOstrowski表示,首席信息安全官需要成为协作和创新的驱动力,提供与各种团队文化相结合的领导力。他解释说:“通过更好地与首席信息官和其他业务部门负责人保持一致,首席信息安全官可以营造一个工作环境,使安全和IT团队能够紧密配合,建立成功的品牌。”
首席信息安全官和安全团队长期以来一直被指责为阻碍技术创新。Ostrowski说:“现在,企业比以往任何时候都更需要建立一种文化,使其团队能够朝着总体业务目标迈进。”
8.开发一种真正有效的方法来增强威胁意识
缺乏威胁意识不利于企业安全规划。无法充分监测威胁趋势可能导致技术、服务和实践与实际风险、威胁和对手没有明确联系。SAIC公司首席信息安全官AliciaLynch警告说:“虽然企业采用的技术越来越丰富和越来越先进,但安全性却很差。”该公司主要为政府客户提供与IT相关的服务和支持。
Lynch建议,需要建立一个流程,收集和过滤有关观察到的关键趋势的信息,并将这些见解与内部组织情报相融合,以识别在网络攻击者攻击之前需要解决的安全漏洞。她说:“如果没有成熟的方法来过滤噪音,并专注于与其组织相关的项目,首席信息安全官将会错过与安全性相关的关键情报。”