网络安全作为媒体关注的话题频繁出现,这让首席信息安全官面临更大的压力,因为他们为企业管理者提供的信息可能并不那么令人放心。
根据安全软件提供商Proofpoint公司发布的一份名为《2021年CISO报告之声》的调查报告,大约64%的首席信息安全官担心他们的公司在未来一年中面临网络攻击的重大风险,66%的首席信息安全官认为他们所在的公司没有做好应对的准备。
作为回应,一些首席信息安全官正在调整策略以加强他们的安全态势。他们似乎相信自己走在正确的轨道上。Proofpoint公司在报告中指出,65%的首席信息安全官认为,到2023年,他们将能够更好地抵御网络攻击并从中恢复。
当然,每个首席信息安全官都有自己的安全路线图,但已经出现了一些共同元素。根据首席信息安全官、分析师和安全领导者的说法,当今的首席信息安全官优先级列表包含以下15个战略重点:
1.关注安全基础
安全基础仍然是重中之重。数字咨询机构Mobiquity公司的工程副总裁兼信息安全官Tyrone Jeffrees说:“这并不是一个有趣的网络安全话题,但重要的是我们确保正确处理拦截和处理。”
Jeffress为此表示,首席信息安全官需要专注于完美地执行资产管理、修补、漏洞管理和配置,以及提供安全意识教育和培训。
Proofpoint公司调查的数据证实了这一观点,并指出加强核心安全控制是首席信息安全官最常提及的优先事项之一。
2.识别和降低第三方风险
资深网络安全领导者、《重大漏洞:共享的网络安全课程》一书的合著者Neil Daswani表示,SolarWinds公司的数据泄露事件将第三方风险提升到首席信息安全官优先级列表的前列。
Daswani表示,这起重大网络攻击事件在2020年底首次被发现,首席信息安全官需要了解其所在公司使用的所有安全技术,以便他们能够创建适当的流程来审查供应商,并制定有关如何更好地降低风险的策略。
3.确保企业代码内的安全性
信息安全服务商Crucyble公司的共同创始人Brian Johnson表示,首席信息安全官越来越专注于发现企业使用的代码中的漏洞。
他说,“我们如今看到了很多代码问题,我们使用的第三方代码有可能是恶意的开源代码。”他指出,他和其他首席信息安全官正在投入资源来检查正在部署的新代码,并重新访问已经部署的代码,以根除任何漏洞或错误。
4.防御勒索软件攻击
勒索软件攻击在2021年达到新水平,对Colonial输油管道和跨国肉类包装商JBS公司的网络攻击关闭了关键基础设施,影响了美国部分地区民众的日常生活。很多首席信息安全官安全负责人表示,此类消息使他们处于高度戒备状态。
Vonage公司首席信息兼首席信息安全官Sanjay Macwan说,“这意味着通过聘请第三方安全和合规性评估人员以及行业领先的安全研究人员/测试人员采用内部测试和外部测试方法不断测试安全态势。另一个关键方面是丰富的数据驱动和现代安全监控,以识别和系统地应对威胁。通过正在进行的桌面演习测试各种威胁场景,测试企业的安全准备情况也是至关重要的。”
5.获得企业董事会的支持
斯坦福大学高级安全研究中心联合主任Daswani说,“首席信息安全官的另一个优先事项是确保企业高管了解威胁形势中正在发生的事情,以及需要什么样的额外投资来应对这些威胁。”
他表示,这让更多的首席信息安全官直接向企业董事会陈述或报告。科技研究和咨询机构Gartner公司估计,到2025年,40%的企业将成立专门的网络安全委员会,而目前只有10%。该公司的调查还表明,企业董事会现在将网络安全相关风险视为企业的第二大风险,仅次于监管合规风险。
6.支持数字化转型和战略目标
随着企业继续加速数字化转型,首席信息安全官有望跟上其发展步伐。因此,首席信息安全官将安全视为一种业务推动因素。
数字服务和信息管理提供商Ricoh公司企业和信息安全副总裁兼首席安全官David Levine说,“从企业董事会的角度来看,优先事项是支持业务和业务目标,并且这样做使我们能够安全地开展业务,以保护我们和客户的业务安全,同时可以提供良好的客户体验。这是总体准则。”
专家表示,首席信息安全官支持该任务的方式根据企业的情况而有所不同,它正成为安全团队更普遍的优先事项。
7.提高灵活性
Kriss Warner是Info-Tech研究集团网络安全咨询的全球实践负责人,也是ISACA认证的首席信息安全官,他认为大多数首席信息安全官的相关优先事项是快速适应,同时保持弹性。
Warner说,首席信息安全官需要带领团队以更敏捷的模式工作,以跟上业务发展的步伐。他补充说,“自然灾害、网络攻击以及企业董事会的要求促使首席信息安全官更加灵活。”
8.提升团队技能
美国玛丽维尔大学网络安全助理教授BrianM.Gant指出,如今对安全人才的竞争非常激烈,冠状病毒疫情加剧了市场竞争。根据Gartner公司的调查,对信息安全职位的需求激增,美国市场增长了65%。因此,首席信息安全官应该优先考虑保留现有员工,并培训他们掌握保护运营环境所需的特定技能。他特别强调员工提高云安全和威胁情报以及访问和身份管理方面的技能。
9.解决物联网安全问题
市场研究机构IoT Analytics公司在其发布的2020年物联网状况报告中估计,2020年有120亿台设备连接物联网。该公司预测,到2025年,全球物联网连接数量将超过300亿台。
Gant说,“一切都在互联,这是首席信息安全官必须从战略上考虑的事情。”
他表示,首席信息安全官更加关注物联网设备及其产生的数据的安全性。他们需要制定策略以准确了解连接到网络的内容和设备数量,还需要重新审视他们在物联网中采用的身份和访问管理计划。
10.设计上的安全
Vonage公司首席信息官兼首席信息安全官Macwan表示,安全性是首席信息安全官的优先事项。
他说,“简而言之,我们所做的一切就是为客户提供的产品和服务,或者为我们的员工提供体验的工具和技术,这些都必须从一开始就嵌入适当的安全、隐私、信任和合规性。”
很多首席信息安全官也表示将设计上的安全列为优先事项。技术提供商Copado公司的安全和IT负责人Kyle Tobener指出,将应用程序部署到生产环境之前,在开发过程中发现安全问题时,修复这些问题的成本会呈指数级下降,因此,安全反馈可以使开发人员能够尽早、安全地做出与安全相关的决策,这是首席信息安全官路线图的关键部分。”
11.提高安全自动化
为了帮助安全团队更好地应对更广泛的IT环境和不断增加的网络攻击活动,许多首席信息安全官加快了自动化技术的部署。
事实上,Proofpoint公司调查将“提高安全自动化”列为其响应首席信息安全官确定的优先事项列表中的第4位。
Jeffress表示,首席信息安全官正在使用自动化来更好地识别威胁和加快响应速度,并在新代码的开发和部署到环境中的整个过程中执行安全标准。他指出,自动化是创建安全代码、通过设计实现安全性以及转向日益流行的零信任安全模型的关键部分。
12.加强远程工作安全
Proofpoint公司的调查表明,将近三分之二的首席信息安全官认为远程工作使他们的公司更容易受到网络攻击,其中58%的受访者指出,自从实现了广泛的远程工作以来,网络攻击的针对性更强。
Levine说,“人们可能并不是故意将自己和企业置于危险之中,而是因为工作环境不同。”
他表示,这将促使首席信息安全官制定零信任和身份优先的安全策略,以创建安全的随时随地工作的商业模式。
13.保护云安全
将近40%的企业在451Research公司开展的调查中表示在疫情持续蔓延期间增加了公有云的使用,其中绝大多数企业认为,向公有云的迁移将是永久性的。
Levine所在的公司也顺应这一趋势,这让他重新思考安全战略。Levine正在部署新的工具、流程和治理模型来支持基础设施,并实施一项全面的云安全治理计划,以使其带领的团队了解企业采用的云计算环境,并强制遵守安全法规和标准。
14.跟上隐私法规不断发展的步伐
美国弗吉尼亚州于2021年初通过了《消费者数据保护法》(CDPA),并颁布了类似于《加利福尼亚消费者隐私法》的法规。科罗拉多州也在今年7月颁布了科罗拉多州隐私法(CPA)。
此类行为造成了企业必须跟踪和遵循越来越多的隐私法规。
Warner指出,这让首席信息安全官与企业其他高管合作部署技术和流程,以有效和高效地应对当前的隐私和安全法规。
他说,“首席信息安全官需要将严格的隐私和安全法整合到他们的业务计划中来做到这一点。”
15.制定连续性计划以应对全球性事件
Levine正在解决疫情所揭示的另一个安全问题:业务连续性计划中的缺陷。他表示,首席信息安全官正在重新审视他们的连续性和弹性战略,这些战略在很大程度上没有考虑到全球性影响事件。
他说,“我们制定了计划,但并没有考虑到由于发生疫情而导致大部分员工在一夜之间转向远程工作。”他补充说,原有计划假设员工在一个受影响地区转移到未受影响的另一个地区工作,而现在必须重新思考业务连续性。
