首席信息安全官处于2022年的12个决议
发布时间:2022-03-17 04:05:40 所属栏目:电商 来源:互联网
导读:可以肯定地说,今年与往年一样,首席信息安全官仍将面临很多挑战,从劳动力的持续短缺到日益复杂的网络攻击,再到来自民族主义国家的持续威胁。然而,对于如何应对这些挑战,首席信息安全官也有很多想法。 行业媒体为此采访了多个行业领域的首席信息安全官,
|
可以肯定地说,今年与往年一样,首席信息安全官仍将面临很多挑战,从劳动力的持续短缺到日益复杂的网络攻击,再到来自民族主义国家的持续威胁。然而,对于如何应对这些挑战,首席信息安全官也有很多想法。 行业媒体为此采访了多个行业领域的首席信息安全官,以下是他们分享和阐述的主要目标和战略议程。 1. 消除盲点 云计算软件开发商Domo公司首席信息安全官兼IT副总裁Suyesh Karki表示,希望消除技术环境中的盲点,因为无法保护看不到的东西。 Karki解释说,“对于我们的安全团队来说,了解云计算应用程序、内部部署应用程序、网络、服务、系统、数据库、帐户、第三方提供商等方面非常重要,以帮助加强网络安全防御。对于所有硬件、软件和供应链资产有一个完整、准确、适当的优先级的清单,使我们的安全团队能够采取系统的方法来了解需要保护的内容、实施哪些控制措施来保护、防御和应对任何不利事件,以及如何识别和生成能够完整说明当前安全状况的指标。” 2. 更好地理解“相互依赖的网络” 软件开发商Zendesk公司首席信息安全官Maarten Van Horenbeeck将在其公司的技术环境中更好地理解“相互依赖的网络”作为2022年的首要目标。 他说,“我想更好地了解这一网格,以便可以采取行动,并知道如何更好地保护它。” 3. 深入了解供应商的IT环境 科技厂商InfluxData公司的首席信息安全官Peter Albert也有类似的想法。他表示,希望了解供应链的完整范围。 他补充说,“很多人认为供应链可能只是与其签订合同的公司,但它远不止于此。” 4. 将平凡的事情做得最好 咨询机构Booz Allen Hamilton公司首席信息安全官Ashley Devoto表示,希望在寻求加强整体网络弹性的过程中,始终专注于基本面。 更具体地说,她想确保有一个强大的应用程序来快速识别和修复漏洞;有效实施补丁的良好流程;良好的员工意识和培训;以及整个IT环境的全面可见性。 她始终信奉这一商业格言,“成功就是将平凡的事情做得最好。”她说,“这句格言引起了我的共鸣。” 5. 将安全性进一步左移 为了帮助确保她和她的团队正确掌握安全知识,Devoto计划更早地将安全要求嵌入到规划和开发流程中。她说,“我正在优先扩展我们的预防控制和能力套件,因为我们在‘上游’战斗以阻止网络攻击。” 有着在2022年将安全性进一步左移这样的想法并不只有她一个人。软件开发商Dynatrace公司发布的“2021年全球首席信息安全官”报告指出,在接受调查的700名首席信息安全官中,89%的受访者表示微服务、容器和Kubernetes造成了应用程序安全盲点,71%的人表示不完全相信代码在上线运营之前是没有漏洞的。此外,85%的受访者表示,他们认为应用程序和DevOps团队必须对漏洞管理承担更多责任,以有效保护企业。 6. 开始摆脱对密码的依赖 网络安全智囊团CIBR公司首席信息安全官Grant Gibson表示,希望他的公司在今年进一步远离使用密码进行访问,或者至少远离使用密码作为主要身份验证形式。 他认为此举是提高安全性的关键举措。 他说:“我们处理密码已有40年的时间,但一致认为采用密码也会被黑客入侵。” 7. 提高敏捷性 万通银行企业网络安全主管Ariel Weintraub表示,今年的决议是“更加灵活”。 她说,“网络安全计划在表现出弹性时最为成功。过去几年的网络攻击表明,网络攻击者不断发展他们的策略,具有弹性的能力是基于快速调整优先事项的能力。” 她解释说:“我们正在转向利用日常威胁和脆弱性评估能力进行持续评估,使我们能够识别、衡量和应对新出现的威胁和风险。这意味着不必害怕暂停或终止某些计划,并根据最新的技术和措施转向新的计划。不必害怕勒索软件会破坏他们的整个基础设施。我们将在交付新功能的方式上保持灵活性,以使其不受影响。这样就无需花费数年时间来应对新的威胁,而当一个项目不再相关时停止,并不是一种失败。” 8. 与企业建立更好的合作伙伴关系 加强安全部门与企业的合作是Van Horenbeeck今年的另一项决议。他说,“我们已经这样做了一段时间,今年它真正成为我们内部的首要任务。”他解释说,加强安全性与业务的一致性将有助于各个团队推进他们的目标。 Van Horenbeeck表示,包括他自己在内的许多安全部门已经非常擅长识别和解决企业内部的顶级风险。不过,这不会影响日常工作习惯和业务流程,这些习惯和业务流程通常会引入较低级别的安全风险,并阻碍建立具有安全意识的企业文化的努力。 与企业建立更强大的合作伙伴关系将有助于安全识别产生风险的工作流程,它还将帮助安全部门了解他们的业务同事为何重视这些流程。这种结合以及由伙伴关系培育更好的关系,应该有助于安全和业务共同寻找成功的解决方案。 Van Horenbeeck说。“这实际上是更多地关注我们的合作伙伴要去哪里,而不是告诉他们该做什么。” 9. 照顾好团队 UST公司首席信息安全官Tony Velleca表示,今年将更加关注他们的团队和员工。 Velleca表示,根据软件开发商1Password公司于2021年12月进行的访问状态研究,约84%的安全专业人员表示感到筋疲力尽。 10. 招募新人才 MongoDB公司首席信息安全官Lena Smart希望帮助解决安全方面的人才短缺问题,并决定在2022年招聘安全方面的人才。 Smart说,“我计划继续在指导和支持外部信息安全社区方面发挥积极作用。” 她说:“作为首席信息安全官,我经常从同事那里听到招募人才的难度。虽然填补信息安全职位肯定竞争激烈,但我们已经看到,从找到具有正确特征的人员并帮助他们了解技术细节的过程中,我们取得了真正积极的成果。” 11. 清除多余工具和功能 Oracle公司客户服务副总裁兼首席信息安全官Brennan P.Baybeck表示,计划清理没有提供价值的多余工具和投资,并确定未充分利用的功能。 他说,“我认为现在是盘点的好时机,看看我们有什么可用的工具,在疫情发生之前我们有什么资源,积累的东西或冗余的功能,并消除那些不符合规定的流程和技术战略。” 12. 为未来做好准备 Tiro Security公司首席信息安全官兼首席技术官Jenai Marinkovic也展望了未来,她表示,2022年的主要职业目标是让安全人员为未来世界做好准备。 她认为需要解决三个主要问题。 首先,她想让安全人员准备好工作并参与智能生态系统(例如元宇宙)并保护它们。这意味着了解如何在这个新世界中互动、交流和呈现;这也意味着了解技术和使用它的人员是如何运作的,以便可以预测和解决安全问题。 其次,她希望帮助员工擅长沟通和协作,作为团队的一部分工作,以及理解以用户为中心的设计。 第三,她希望安全专业人员更加关注业务连续性,以便能够分解业务流程和支持它们的系统,因为真正擅长这些将是应对网络攻击事件的关键。 Marinkovic已经开始在这三个广泛的需求领域内培训团队,通过Tiro Security公司提供虚拟首席信息安全官服务。GRCIE公司是一家非营利公司,为美国各地的女性和退伍军人提供指导和心理支持。 她补充说,“我们的目标是让员工为即将到来的未来做好准备。” (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
