您当前的位置:   首页 > 新闻中心
首席信息安全官:用战略性思考击败坏人
发布时间:2022-06-16 09:22:49   阅读次数:

image.png

随着网络威胁变得越来越多样化,每天都有停止的挑战,首席信息官和首席信息安全官需要采取战略方法来保护其组织。


太多的组织仍然过于依赖单点解决方案。其中包括Web应用程序防火墙,防病毒软件,端点检测和响应以及其他旨在阻止特定类型攻击在网络中站稳脚跟的工具,Micro Focus全球联盟首席技术专家Spiros Liolis说。


然而,一封精心设计的网络钓鱼电子邮件针对的是具有适当有效负载的正确员工,甚至可以通过最雄心勃勃的多层防御。


网络安全孤岛已经消失,或者应该消失,Liolis说。“这是一个战略问题。组织需要以非常系统的方式开始考虑[网络安全],但其中大多数人甚至不知道从哪里开始。


攻击恢复到大流行前的水平

根据世界经济论坛的《2022年全球风险报告》,“对数字系统的日益依赖因COVID-19而加剧,改变了社会。...与此同时,网络安全威胁正在增长 - 到2020年,恶意软件和勒索软件攻击分别增加了358%和435% - 并且超过了社会有效预防或响应它们的能力。


随着越来越多的人在大流行后返回办公室,恶意软件也随之进入。根据WatchGuard的2021年第四季度互联网安全报告,针对企业网络的恶意软件已恢复到大流行前的水平 - 68%的零日恶意软件使用加密连接(如HTTPS)来逃避防病毒软件。


为了应对不断上升的威胁,可见性,自动化和集成“势在必行”,安全供应商WatchGuard的高级安全分析师Marc Laliberte说。“公司需要统一的安全方法,以消除由不同和断开连接的解决方案造成的差距,并为IT团队提供更多可见性和清晰度,以了解他们每天必须处理的威胁。


由于组织的技术足迹、业务实践和流程或人员的每次新增或更改都会产生系统范围的连锁反应,因此首席信息安全官需要减少对针对特定威胁的单个技术的关注,而更全面地考虑要保护的内容、保护它的原因,以及只有在考虑了其他两个技术之后,才能保护它。


提出正确的问题

要使这种思维转变,首先要问几个基本问题,廖利斯说。首先也是最重要的一点是,为什么要保护某些组织资产而不是其他组织资产。除非你知道原因,否则你最终可能会花钱和精力来保护错误的东西。


回答这个问题从业务影响分析开始,Liolis说。此评估有助于确定真正关键任务的组织资产和系统与不再那么重要的组织资产和系统。COVID-19大流行带来的变化是组织优先事项影响网络安全思维速度的一个很好的例子。


一旦办公室被清空,每个人都开始在家工作,管理新的远程员工的工具,如移动设备管理,端点检测和响应,身份和访问管理以及云访问安全代理突然成为优先事项。


“组织本身的变化将改变流程,从而改变技术,这就是为什么你必须从整体上看待它,作为一个系统,”Liolis说。“问问自己,'我的收入由什么构成?是什么构成了我的核心业务?我的任务关键型服务或产品是什么?


您需要先运行此练习,然后才能确定保护最关键资产所需的特定网络安全工具。


使用高级记分卡

MedOne Hospital Physicians的首席信息官Brian Shea使用高级记分卡来帮助简化这一过程。标准的红色、黄色和绿色指示器显示某些类型的网络安全工具(或策略,如端点加密或多因素身份验证)是否已到位,以及哪些资产类别受到保护。


他还列出了为保护每个资产而部署的供应商、技术或方法(如渗透测试)。


记分卡不能代替战略,但它有助于简化它,以便Shea和他的团队知道哪些领域可以被认为是安全的,哪些领域需要工作,哪些需要进一步投资。一旦他知道将预算花在哪里,他就可以提出有关在内部部署和管理解决方案或与第三方提供商(如托管服务提供商)合作的正确问题。


“从战略的角度来看,你需要知道你的立场,”Shea说,“但你需要以一种可口的方式去做。许多组织很快就被他们必须做的事情和采取的方向所麻痹,所以他们什么都不做。否则他们可能会做错事。


将安全性视为利益相关者

Forrester副总裁兼首席分析师Jeff Pollard表示,首席信息官和首席信息官的部分问题在于,安全性本质上是被动的-无论是对威胁还是组织移动、添加和更改。安全性应该遵循组织的方向,而不是相反。


这就是为什么他建议他的客户从利益相关者的角度来看待它。有三个:组织及其股东或所有者、员工和合作伙伴。


“这些是你的安全战略的投入,”他说。“因为这些是你负责保护的东西,这就是你的责任所在。首席信息安全官不能决定“突然开始保护不可识别的代币和类似的东西,如果你的公司不采用它们的话。


一旦您了解了每个组的风险,需要保护的内容以及安全性可以优先于易用性或访问等事项的程度,那么CISO就可以开始为这项工作选择正确的工具。但是,做出这些决定的方法应该始终是自上而下的,而不是自下而上的。


不要过分强调风险

Forrester的Pollard还认为,仅通过风险的视角来看待网络安全是一种非常常见但错误的方法。风险是一个考虑因素,但它通常受到CISO无法控制的因素的影响,包括监管变化或业务决策。此外,一些行业对风险的容忍度高于其他行业。


如果一项有价值的资产仅通过风险的视角来看待,那么保护该资产应该是一个高度优先事项。这是常识。但是,如果保护该资产的成本与其在暗网上的相对价值相比太高,那么这种权衡对企业来说可能不值得。“我告诉很多安全领导人,过分强调风险会让他们被解雇,”波拉德说。


换句话说,风险是相对的,Micro Focus的Liolis说。


“进行影响分析会告诉你为什么要保护组织,”他说。“因为如果我要损失350万美元,或者我会失去这个,或者我会失去那个......这将在很大程度上定义你的风险偏好。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609