如今,CISO需要考虑很多事情,从构建更安全的基础设施到阻止勒索软件攻击,再到确保内部员工不滥用或窃取数据。由于责任如此之多,时间却如此之少,即使是最尽职尽责的CISO也会错过或忽视一些关键问题也就不足为奇了。以下是CISO应该考虑和解决的8个经常被忽视的问题。1.确保第三方合作伙伴保持强大的安全性。企业的第三方合作伙伴(包括客户和服务提供商等)面临着诸多安全挑战。第三方合作伙伴成为目标。数据智能软件开发商Collibra的首席信息安全官MykeLyons建议,企业CISO应该与合作伙伴密切合作,以确保他们认真遵循安全最佳实践。“没有一种明确或简单的方法,但评估供应商、数据库、第三方流程以及与供应商的连接性至关重要。治理是关键,”他说。2.多年工作后研究创新机会许多CISO固步自封,几乎完全专注于满足基本的业务安全需求并保持低调,这将不可避免地面临问题。在线家庭销售服务Opendoor的首席信息安全官NoahBeddome警告说:“如果我们不创新,我们很快就会发现自己难以跟上业务增长的步伐。”团队创新的CISO不仅会损害企业的运营,还会损害公司的声誉。“我们需要推动IT和业务团队进行创新,并将一些想法转化为建议,而不用担心失败,”Beddome说。“即使最终结果不如计划,也能带来巨大进步。”3.了解企业足迹的数据不完全了解的东西是不可能保护的。许多代价高昂的数据泄露事件发生在企业身上,这些企业不知道他们存储了多少数据、什么类型、何时何地存储数据。CSAA保险集团首席技术官兼技术监督总监MarlysRodgers表示,“对于企业而言,了解他们在开始时继承的数据以及继续激增的数据非常重要。”数据量和范围。Rodgers指出:“CISO需要知道谁拥有这些数据,实施了哪些控制,与他们直接控制的数据一样重要,以及数据泄露的方式和地点。”4.加强对安全团队的支持和关注CISO应该专注于在支持团队并使其成功的文化和环境中建设和运营。“有效的网络安全在很大程度上是授权文化和从高层领导者开始的不断发展的环境的结果,”商业咨询公司Capgemini网络部门首席战略官JoeMcMann说。McMann建议,如果他们的团队未能解决关键风险领域或未能协同工作,即使在管理层的支持下,CISO也应该分析他们的安全运营并考虑改变方向。“最后,CISO必须确保他们的团队与战略合作伙伴协作,以帮助他们实现这些目标并与整体文化和战略保持一致,”他补充道。5.前瞻性思考全球网络威胁格局在不断演变。全球技术研究和咨询公司InformationServicesGroup的网络安全总监DougSaylors表示:“从战术角度来看,时间点评估是可以理解的,但往往无法实现CISO应该解决的战略目标。许多CISO官员如此专注于处理安全的战术方面,以至于战略考虑常常被忽视。将安全视为事后的想法可能会留下巨大的漏洞,使企业容易受到攻击。Saylors估计,80%的CISO将专注于战术和战略目标。“另外20%的CISO担任CISO角色已有十多年,了解战略和业务影响的重要性,”他说。并利用这些见解来更新您的网络安全路线图并将CISO角色提升到战略层面。如果需要,利用市场上可以帮助提升商品安全能力的供应商,释放CISO和高级网络安全工程资源,以重新获得战略优势。6.维持现有回报安全投资安全工具、网络人才和事件响应流程的投资不能搁置,所有这些都需要定期测试,以确保它们仍然能够实现计划的目标。商业咨询公司BoozAllenHamilton的执行副总裁AndrewTurner表示:“首席信息安全官部署工具和人力资本方面的技术资源来配置这些工具并开发检测和响应网络攻击的流程。”真正的有效性往往只有在重大安全事件发生时才能真正得到检验。”Turner建议企业在多个层面实施持续测试计划,从桌面练习到技术测试。团队通过持续反馈和知识传递紧密合作,以最大限度地发挥网络能力。“频繁和重复的桌面练习可以增强团队成员的记忆力,”特纳说,“技术测试验证企业的安全堆栈工具是否阻止或记录恶意活动,并在企业运营环境中发生恶意活动时启用优化分析。”7.查找建立企业管理统一性的方法企业安全、IT和业务团队通常在独立的孤岛中运作,阻碍了有效的沟通和快速的问题修复。鼓励各方协作的CISO,结合由业务目标驱动的全栈可观察性策略,可以帮助他们整合企业SE安全更有效。思科负责应用程序性能管理和IT运营分析技术的首席技术官GreggOstrowski表示,CISO需要成为协作和创新的推动者,提供与各种团队文化合作的领导能力。“通过更好地与CIO和其他业务部门领导保持一致,CISO可以营造一种工作环境,让安全和IT团队紧密合作以打造成功的品牌,”他解释道。长期以来,首席信息安全官员和安全团队一直被指责阻碍技术创新。“现在,企业比以往任何时候都更需要建立一种文化,使他们的团队能够朝着总体业务目标迈进,”Ostrowski说。8.制定真正有效的方法来提高威胁意识缺乏威胁意识不利于业务安全规划。未能充分监控威胁趋势可能导致技术、服务和实践与实际风险、威胁和对手没有明确联系。为政府客户提供IT相关服务和支持的SAIC首席信息安全官AliciaLynch警告说:“虽然企业采用更丰富、更先进,但安全性很差。”Lynch建议,需要制定一个流程来收集和过滤有关主要观察趋势的信息,并将这些见解与内部组织情报相结合,以确定需要在网络攻击者发动攻击之前解决的安全漏洞。“如果没有经过验证的方法来过滤噪音并专注于与其组织相关的项目,CISO将错过与安全相关的关键情报,”她说。
