然而,对于如何应对这些挑战,CISO也有很多想法。行业媒体采访了各行各业的首席信息安全官。以下是他们共同制定的主要目标和战略议程。1.消除盲点云计算软件开发商Domo的首席信息安全官兼IT副总裁SuyeshKarki希望消除技术环境中的盲点,因为看不到的东西无法得到保护。Karki解释说:“我们的安全团队必须了解云应用程序、本地应用程序、网络、服务、系统、数据库、账户、第三方提供商等方面,以帮助加强网络安全防御。拥有所有硬件、软件和供应链资产的完整、准确和适当优先级的清单,使我们的安全团队能够采取系统的方法来了解需要保护的内容,采取了哪些控制措施来保护、防御和响应2.更好地理解“相互依存网络”软件开发商Zendesk的首席信息安全官MaartenVanHorenbeeck在他公司的技术环境中更好地理解“相互依存的网络”作为2022年的首要目标。他说:“我想更好地了解这个网格,以便我可以采取行动并知道如何更好地保护它。”尽管多年来网络的复杂性有所增加,但VanHorenbeeck表示,在过去的两年里,SolarWinds和Log4j的网络攻击事件让他更加关注understa的重要性。寻找构成企业技术生态系统的所有活动部分。为此,VanHorenbeeck对技术进行了投资,以更全面地了解其公司的IT环境。虽然他承认完全了解供应商的代码不太可能,但他仍然希望更详细地了解第三方和供应商如何与他的公司互连以及正在访问哪些数据,以便他的团队可以设计安全策略来限制他们可能面临的风险姿势。3、深入了解供应商的IT环境技术厂商InfluxData的首席信息安全官PeterAlbert也有类似的想法。他说他想了解整个供应链。他补充说,“很多人认为供应链可能只是与它签订合同的公司,但它远不止于此。”风险。为了进一步限制风险,Albert表示他希望对其SaaS提供商实施更多监控,以确保其公司的数据在提供商的IT环境中运行安全。他解释说:“我认为存在一个根本性的误解,即第三方供应商可能正在监控用户数据,但我们发现情况并非如此。因此我们必须承担部分责任,这意味着从这些供应商那里收集数据.关于谁在访问数据的见解。Albert说,InfluxData的一名员工构建了一个用于摄取SaaS提供商安全日志的原型,而其他人正在构建模型来检测可能表明安全威胁的异常情况。4.与咨询公司BoozAllen的首席信息安全官AshleyDevoto一起做到最好Hamilton表示,她希望在寻求加强整体网络弹性的过程中专注于基本面。更具体地说,她希望确保有一个强大的应用程序来快速识别和修复漏洞;一个有效实施补丁的良好流程;以及良好的员工意识和培训;以及整个IT环境的全面可见性。她一直信奉商业格言,“成功就是把平凡的事情做到最好,”她说。“这句格言引起了我的共鸣。”坚持不懈地战斗。通过获得安全感熟练程度,我们将提高我们应对网络攻击的速度和敏捷性。”此外,Devoto计划制定衡量标准和关键绩效指标,以衡量她的安全团队在解决这些基本问题方面的有效性和改进。联合国项目服务办公室(UNOPS)首席信息安全官兼数据隐私官NielHarper,还详细阐述了今年的决议,详细说明了如何实现,他希望将更多的精力和资源集中在隐私和数据上;细化和加强第三方风险管理的控制框架;提高企业对勒索软件的防护;并继续就电子邮件安全的重要性对其他业务领导者进行教育。5.将安全性进一步向左转移为了帮助确保她和她的团队获得正确的安全知识,Devoto计划在规划和开发过程的早期嵌入安全要求。“我正在优先扩展我们的一套预防控制和能力,因为我们与‘上游’作战以阻止网络攻击,”她说。考虑在2022年将安全进一步左移的并不孤单。根据软件开发商Dynatrace发布的《2021年全球首席信息安全官》报告,接受调查的700名首席信息安全官中有89%表示微服务、容器和Kubernetes已经导致应用程序安全中的盲点,71%的人表示,在代码投入运行之前,他们并不完全相信代码没有漏洞。此外,85%的受访者表示,他们认为应用程序和DevOps团队必须对漏洞管理承担更多责任,以有效保护企业。6.开始远离密码网络安全智库CIBR的首席信息安全官格兰特吉布森表示,他希望他的公司今年进一步远离使用密码进行访问,或者至少作为主要的身份验证形式。他认为此举是提高安全性的关键举措。“我们处理密码已有40年,但共识是密码也可以被破解,”他说。他说这是意料之中的,许多人仍然为多个账户使用同一个密码。选择简单的密码以确保它们被记住,当系统需要复杂的密码时,他们将它们写在纸上或存储在电子文件中——尽管经常警告不要这样做。他还指出,最近备受瞩目的网络攻击涉及密码泄露。Gibson表示,他正在努力实施更强大的身份和访问管理(IAM)控制,这些控制更易于使用,但对企业来说更安全。他承认没有一刀切的解决方案。目前,他正在自己的公司内实施多重身份验证,因此密码并不是验证用户身份的唯一方式,他正在探索未来完全消除密码的方法。他说,“我们的目标是实现无密码。在短期内,这意味着密码不能成为唯一的身份验证形式。但从长远来看,目标是完全无密码。”7.提高灵活性该银行企业网络安全负责人万通ArielWeintraub表示,今年的决议“更加灵活”。她说:“网络安全计划在展示弹性时最为成功。过去几年的网络攻击表明,网络攻击者在不断改进他们的策略,而弹性的能力是基于快速调整优先级的能力。”她解释说:“我们正在转向持续评估,利用我们的日常威胁和漏洞评估能力,使我们能够识别、衡量和应对新出现的威胁和风险。转向新计划。不必担心勒索软件会破坏他们的整个基础设施。我们将灵活地提供新功能,以免它们受到影响。与其花费数年时间应对新的威胁,并且当一个项目不再相关时停止并不是失败。”8.与企业建立更好的伙伴关系加强安全部门与企业之间的合作是VanHorenbeeck今年的另一项决议“我们这样做已经有一段时间了,今年它真的成为我们内部的首要任务,”他说,并解释说加强安全与业务的一致性将有助于各个团队推进他们的目标。VanHorenbeeck说,许多安全部门,包括他自己的部门,都非常擅长识别和解决企业内部的首要风险。然而,这并不影响日常工作习惯和业务流程,这些习惯和业务流程通常会带来较低级别的安全风险,并会阻碍创建具有安全意识的企业文化的努力。与企业建立更牢固的合作伙伴关系将有助于安全部门识别产生风险的工作流程,还有助于安全部门了解为什么他们的业务同事重视这些流程。这种结合,以及通过合作伙伴关系培养的更好的关系,应该有助于安全和业务合作找到成功的解决方案。范霍伦贝克说。“这实际上更多地是关于我们的合作伙伴要去哪里,而不是告诉他们该做什么。”9.照顾好你的团队UST首席信息安全官TonyVelleca说,今年UST将更加关注他们的团队和员工。Velleca说,根据软件开发商1PasswordInc.于2021年12月进行的访问状态研究,约84%的安全专业人员表示感到筋疲力尽。Velleca说,随着COVID-19造成的不确定性和破坏性继续存在,他正在寻找不仅能留住人才,还能激励人才的方法。与许多其他公司一样,Velleca表示,过去两年由于大流行病转为远程工作后,该公司的员工大部分都在现场。Velleca表示,公司计划让员工回到办公室,当然可以选择远程工作,他希望此举有助于重新激发员工的活力。他还计划专注于创新项目以提高员工的热情,并将部署更多的自动化,将员工从重复性任务转移到更具吸引力、更高层次的任务上。10.招聘新人才MongoDB首席信息安全官LenaSmart希望帮助解决安全人才短缺的问题,并决定在2022年招聘安全人才。支持外部信息安全社区。”她说:“作为一名首席信息安全官,我经常听到同事们说招聘人才难。尽管填补信息安全职位肯定存在竞争。非常激烈,但我们已经看到了真正积极的结果,即找到具有合适背景的人并帮助他们了解技术细节。”11.清理冗余工具和功能OracleCorporation副总裁兼首席信息官、客户服务安全官BrennanP.Baybeck表示该计划是清理没有提供价值的冗余工具和投资,并确定未充分利用的功能。他说:“我认为现在是盘点一下的好时机,看看我们有哪些可用的工具、我们在大流行、积累或冗余功能之前拥有哪些资源,并消除那些不合规的流程和技术,”他说。战略。”Baybeck表示,他计划不仅在他的安全操作中采用这种方法,而且还计划在他的员工中采用这种方法。他看到了员工所需技能的转变。因此,他花时间重新评估职位,以确定哪些专业人员需要哪些新技能,哪些角色需要发展。例如,他决定将一些以合规为重点的职位空缺转变为专注于提供更多自动化、控制和开发安全工作的工程和开发人员职位,所有这些职位都比合规职位更令人满意。企业当前和未来的安全需求。12.为未来做准备TiroSecurity的首席信息安全官兼首席技术官JenaiMarinkovic也展望了未来,她说她2022年的主要职业目标是为明天的世界培养安全人员。她认为需要解决三个主要问题。首先,她想让安全人员做好工作准备,参与智能生态系统(例如元宇宙)并保护他们。它意味着了解如何在这个新世界中互动、交流和呈现;它还意味着了解技术和使用它的人是如何运作的,以便可以预测和解决安全问题。其次,她希望帮助员工善于沟通和协作,成为团队的一员,并理解以用户为中心的设计。第三,她希望安全专业人员更多地关注业务连续性,以便他们可以分解业务流程和支持它们的系统,因为真正擅长这些将是应对网络攻击事件的关键。Marinkovic已开始在这三个广泛的需求领域培训团队,通过TiroSecurity提供虚拟CISO服务。GRCIECorporation是一家非营利性公司,为美国各地的女性和退伍军人提供指导和心理支持。她补充说:“我们的目标是让我们的员工为未来做好准备。”
