2014年以来,信息管理协会权威调查IT趋势研究数据显示,CIO在面对IT管理问题时,已将网络安全提升到头等大事之一向上。然而,在2013年,网络安全在同一调查中排名第七。一年里发生了什么?臭名昭著的Target数据泄露事件导致1850万美元的罚款和Target首席执行官的辞职,值得一提。此后,一连串的数据泄露事件如同闸阀打开的闸门一样倾泻而出,Target事件简直微不足道也就不足为奇了。这发出了一个信息:年复一年,随着网络威胁事件的数量和严重程度不断攀升,导致企业倒闭的数据泄露风险似乎在增加。如今,企业首席安全官正在抓住这个烫手山芋。有些人被迫针对直接参与安全软件行业营销策略的每个新威胁采用单点解决方案。然而,任何组织的网络安全预算都是有限的。CSO如何最有效地配置安全防御资源?有两个简单的答案:理性地确定风险的优先级,同时充分利用现有的有效防御措施。在大多数组织中,未打补丁的软件和社会工程(包括网络钓鱼)无疑是最高风险,其次是密码破解和软件配置错误。通过减少策略因素和操作障碍、确保及时修补、建立有效的安全意识计划、培训操作员锁定配置和实施双因素身份验证,组织将显着降低整体风险。当然,还有其他任何人都可以避免的重大风险和漏洞。例如,如果它是一家电力公司,负责人需要了解针对关键基础设施的高度针对性威胁以及如何防御这些威胁。当黑客真正闯入组织的系统时,在系统内进行身份验证的零信任措施开始发挥作用以阻止攻击。使风险管理成为常规从软盘时代开始,恶意软件和黑客攻击就一直困扰着计算机用户。然而,近年来出现了新的威胁,即创新压力下的技术漏洞。CIO撰稿人BobViolino的《安全vs 创新:IT行业最棘手的权衡》文章揭示了数字化转型时代的阴暗面。文章的核心观点是,如果以牺牲安全和隐私为代价,那么中国的变革举措将失败,而且可能会以惊人的方式失败。所以,在创新的时候,我们还要考虑安全架构。这不仅有利于整体创新的成功,也增加了最终结果的吸引力。InfoWorld特约编辑IsaacSacolick在《如何将安全性引入灵活开发和CI / CD中》中从软件开发的角度详细探讨了这个话题。开发人员往往认为安全不是他们的问题,而把这个责任推给后期参与开发过程的安全团队,这样他们在构建应用程序时就无法关注业务流程。中的漏洞。DevSpsOps是DevOps的产物,它使安全成为开发人员和运维人员的主要关注点,不仅可以避免代码缺陷,还可以在应用程序上线后自动进行安全测试和监控。《UEM最终会在漫长的求爱之后嫁给安全》资深记者LucasMerian也在《UEM最终会在漫长的求爱之后嫁给安全》探讨了将安全集成到软件中的话题。过去,使用MDM(移动设备管理)、EMM(企业移动管理)或最新版本的UEM(统一端点管理)管理移动或桌面设备与端点安全管理重叠,但仍需要单独进行。根据Lucas的说法,供应商现在正在将两者合并以“提供一个集中的策略引擎,以从一个控制台管理和保护公司的笔记本电脑和移动设备。”在某些情况下,这种开发涉及它使用机器学习算法,根据地理位置、所使用设备的类型以及网络连接是公共还是私有等参数自动为用户分配安全策略。然而,尽管新的网络安全技术有时会大张旗鼓地出现,但一些用户仍然没有意识到。在《IT专业人员应该了解但可能不知道的5种防火墙功能》中,网络世界撰稿人ZeusKerravala揭开了现代防火墙的神秘面纱,从网络分段到策略优化再到DNS安全。毫不费力地充分利用防火墙,Zeus在书中提供了可靠、详细的建议。最后,我们都必须做好准备应对我们这个时代最严重的外部威胁——勒索软件。CSO高级作家LucienConstantin在《更具针对性、更复杂、更昂贵:为什么勒索软件可能是最大的威胁》中警告我们,勒索软件已经变得如此隐蔽和复杂,以至于可以与高级持续威胁(APT)相媲美。此外,近期发生的安全事件也证明,勒索软件攻击者的目标已经从勒索个人用户转向能够提供更多赎金的企业组织。问题有多严重?FBI表示,虽然事件数量相对持平,但支出却更高。由于组织不愿报告勒索软件勒索事件,因此没有人真正知道发生了什么。网络安全可能是一门乏味的科学。随着威胁的增加,甚至民主机构也受到攻击,而且似乎不仅机构而且文明本身都受到围困。但在这种情况下,只能鼓励CSO及其组织加倍努力开发更先进的安全防御措施。
