2018:首席安全官的新年規(guī)劃
大多數(shù)人都會有幾個新年計劃,減肥、鍛煉、多陪陪家人等等,從企業(yè)戰(zhàn)略集團(tuán)(ESG)的調(diào)查研究和網(wǎng)絡(luò)安全從業(yè)者的反饋來看,安全主管必須更貼近公司業(yè)務(wù),提升員工生產(chǎn)力,現(xiàn)代化安全技術(shù)基礎(chǔ)設(shè)施。以下5點(diǎn)是企業(yè)CISO們的新年規(guī)劃:
1. 讓網(wǎng)絡(luò)安全成為企業(yè)文化的一部分
ESG/ISSA(信息系統(tǒng)安全協(xié)會)研究表明,24%的企業(yè),其業(yè)務(wù)經(jīng)理依然不能正確認(rèn)識/支持網(wǎng)絡(luò)安全。2018年,CISO必須扭轉(zhuǎn)對網(wǎng)絡(luò)安全的這種無知和漠然。那么,該怎樣扭轉(zhuǎn)呢?
齊心協(xié)力爭取CEO的支持。與所有業(yè)務(wù)經(jīng)理建立經(jīng)常性聯(lián)系。以業(yè)務(wù)經(jīng)理能理解并據(jù)此行動的方式,更好地量化風(fēng)險。在軟件開發(fā)人員開始寫代碼之前,參與到業(yè)務(wù)過程計劃中來。敦促人力資源部進(jìn)行更多實踐訓(xùn)練。經(jīng)常到一線向員工了解情況。
2018年,CISO們必須盡力施為。能推動轉(zhuǎn)變的人,就能對公司風(fēng)險緩解產(chǎn)生個人影響。推動失敗,那2019年可能就得另謀高就了。
2. 加大對網(wǎng)絡(luò)安全人員的時間與資源投入
從ESG/ISSA研究報告《網(wǎng)絡(luò)安全人員的生活與時代》可以看出,網(wǎng)絡(luò)安全團(tuán)隊任務(wù)繁重,人手不足,且沒有足夠的培訓(xùn)以跟上技術(shù)革新步伐。49%的網(wǎng)絡(luò)安全人員至少每周都有一次換工作的想法,如果他們沒有得到公平的對待,留不住人才是必然的結(jié)果。
為緩解這些問題,CISO得盡全力保證網(wǎng)絡(luò)安全人員工作開心,富有成效,活力滿滿。這意味著要在培訓(xùn)、指導(dǎo)項目和職業(yè)發(fā)展上做投入。為招募到新鮮血液,CISO還得盡力讓自家企業(yè)成為網(wǎng)絡(luò)安全上的卓越中心。這包括建立網(wǎng)絡(luò)安全文化,與專業(yè)機(jī)構(gòu)合作,讓公司更多地參與到網(wǎng)絡(luò)安全研究上來,以及確保員工時時受到激勵。
3. 尋找引入高級威脅預(yù)防的機(jī)會
提升生產(chǎn)力的方法之一,就是采用新型高級威脅預(yù)防技術(shù),盡可能地減小攻擊界面。可采用的技術(shù)有:下一代終端安全軟件、微分隔、安全DNS服務(wù)、威脅情報網(wǎng)關(guān)等等。高級威脅預(yù)防可減小安全噪音,讓信息安全人員專注在高優(yōu)先級事件上,為策略規(guī)劃和技術(shù)發(fā)展投入更多時間。
4. 將安全技術(shù)導(dǎo)向集成和高級情報
2018年,CISO應(yīng)專注在安全技術(shù)的合理化、整合及鞏固上,目標(biāo)是建立一個能收集、規(guī)范化、處理、分析并應(yīng)對大量安全遙測數(shù)據(jù)的安全運(yùn)營及分析平臺架構(gòu)(SOAPA)。
同時,企業(yè)應(yīng)研究、測試、應(yīng)用和部署人工智能安全工具。ESG研究表明,通過在現(xiàn)有安全工具中應(yīng)用機(jī)器學(xué)習(xí)算法,比如在終端安全軟件、網(wǎng)絡(luò)安全分析、威脅情報平臺和數(shù)據(jù)泄露防護(hù)(DLP)中應(yīng)用,CISO的投資能獲得最大的回報。人工智能可幫助企業(yè)在不引入新復(fù)雜項目的情況下,提升舊有技術(shù)的安全效能。
5. 致力于自動化并編配人工過程
網(wǎng)絡(luò)安全方面,能自動化的都應(yīng)該自動化。數(shù)據(jù)收集、可疑文件分析、簡單緩解規(guī)則的應(yīng)用等等,都可以自動化。比爾·蓋茨總結(jié)了企業(yè)應(yīng)用自動化技術(shù)中的兩條規(guī)則:“企業(yè)所用任何技術(shù)的第一條規(guī)則是,對有效操作的自動化,可放大該效率。第二條規(guī)則是,對低效操作的自動化,會放大該無效性。”
換句話說,CISO應(yīng)評估業(yè)務(wù)過程,追求過程改進(jìn),否則就將陷入自動化/編配低效過程的困境,發(fā)揮不出自動化的好處。
最后,CISO應(yīng)對網(wǎng)絡(luò)安全采取資產(chǎn)組合管理方式,找出可通過云方案或完全外包給MSSP/SaaS安全提供商的方式進(jìn)行簡化的領(lǐng)域。
CISO三大重點(diǎn):安全功效、運(yùn)營效率和業(yè)務(wù)支持。上述5個方面的計劃就很貼合這3個重點(diǎn),應(yīng)可幫助CISO享受一個愉快的網(wǎng)絡(luò)安全新年景。
