近日，Websense公司CSO(首席安全官)Jason Clark撰文，總結(jié)出當前首席信息安全官們最急迫的8個心愿。

1、簡單而不繁雜

IT領(lǐng)域發(fā)生了太多變化：云計算、移動互聯(lián)、社交網(wǎng)絡(luò)，各種技術(shù)創(chuàng)新如洪水般向我們襲來。但是，各種技術(shù)之間并沒有對話，并且這種形勢正在加劇。運維效率和效果的下降已經(jīng)影響到了整個組織。太多的安全解決方案能提供多種功能，但多數(shù)人只用到其中一小部分。為提高效率，我們需要更易于共享的更簡潔的解決方案。

2、不被太多數(shù)據(jù)和信息淹沒

防火墻、防病毒軟件、IDS/IPS、負載均衡、路由器、交換機、DLP、web安全網(wǎng)關(guān)、移動設(shè)備管理，在數(shù)以千計的應用和數(shù)據(jù)庫中，我們已經(jīng)被數(shù)據(jù)包圍，而很多數(shù)據(jù)都是我們不需要在日常工作中看到的。我問過很多CISO，“你們從IDS或防火墻日志中獲得了什么價值？”多數(shù)回答是，正是因為數(shù)據(jù)太多，他們幾乎沒有從中獲得價值。即便是SIEM(安全信息和事件管理)也不智能，只是簡單地將數(shù)據(jù)轉(zhuǎn)換為信息，但信息并不是我們想要的，我們需要信息得到評估和分析，以便知道將采取什么行動來解決存在的問題。CSO們需要一個制定整體風險管理策略的指南。

3、將數(shù)據(jù)轉(zhuǎn)換為智慧

CSO們需要數(shù)據(jù)，以便做出最佳的安全決策。為此，數(shù)據(jù)需要被轉(zhuǎn)換成信息，信息需要蘊含知識，知識有助于CSO們構(gòu)建安全智慧。遺憾的是，上述許多解決方案并未將信息轉(zhuǎn)化為智能，只是簡單地提供了信息，這才有了主動防護和被動處理之爭。

4、預見風險

目前，很多治理-風險-合規(guī)類平臺產(chǎn)品(GRC)還不夠智能，且過于復雜。而好的風險合規(guī)解決方案又十分昂貴，很少有公司買得起。CSO們需要一種易于部署和管理的GRC解決方案。由于很多CSO都是與他人合作，并繼續(xù)采用云技術(shù)，他們將會越來越少地直接控制和管理基礎(chǔ)設(shè)施，GRC未來就將成為幫助他們管理風險的工具。

5、隨時可見、可控并保護數(shù)據(jù)

要強調(diào)的是，這里說的是數(shù)據(jù)而非設(shè)備。無論在終端還是在云端，我們都需要知道數(shù)據(jù)在哪里，誰在用，什么時候被訪問了。我們還需要能控制數(shù)據(jù)，以便從底層考慮我們的安全程序。

6、 安全引入BYOD

CSO們希望引入BYOD，但多數(shù)CIO還不喜歡對移動設(shè)備進行管理(MDM)。我們需要輕松地準許任何設(shè)備進入網(wǎng)絡(luò)或訪問數(shù)據(jù)，但需要它們?nèi)靠梢姡瑪?shù)據(jù)也能得到控制。未來，數(shù)據(jù)泄漏防護(DLP)和企業(yè)數(shù)字版權(quán)管理(DRM)將會融合。移動設(shè)備管理(MDM)只是將端點安全的老方法應用到移動設(shè)備上，但不能真正解決問題。

7、阻止釣魚攻擊

這是攻擊用戶的首選方式。網(wǎng)絡(luò)釣魚可能是個古老的方法，卻被證明在社會工程學攻擊中非常有效。我問過200名CISO“有沒有自信能阻止公司CEO遭釣魚攻擊”這個問題，沒有一個人給我肯定回答。我們必須想辦法解決這個問題。

你需要基于云的防釣魚攻擊的郵件安全解決方案，它會捕捉并檢查從未見過的URL——在它們攻擊你的網(wǎng)絡(luò)前。你的反垃圾郵件系統(tǒng)做不了這個。另外，許多釣魚網(wǎng)站email也會繞過公司的郵件系統(tǒng)攻擊CEO的Gmail賬號。你需要web安全網(wǎng)關(guān)來保護用戶——當他們點擊釣魚網(wǎng)站鏈接時。

8、安全工作的價值易于衡量

這很重要。安全是整個董事會的事，但我們在衡量安全工作的成績時，必須能夠說服董事會。我們必須說清楚新的安全挑戰(zhàn)和威脅是相當多的。如何向CEO和董事會描述我們的價值？這是個值得大家共同思考的問題。