1. 努力使網絡安全成為組織文化的一部分
ESG/ISSA公司進行的調查研究表明,24%的組織聲稱企業管理人員仍然不理解或不支持正確的網絡安全水平。 2018年,首席信息安全官必須改變這種對網絡安全的無知和冷漠。那么該如何做?
這種努力需要獲得企業的首席執行官的支持。首席信息安全官需要與企業管理人員建立經常性的溝通,努力以他們能夠理解和采取行動的方式更好地量化風險。在軟件開發人員開始編寫代碼之前,首席信息安全官參與業務流程計劃。并推動人力資源更多的實踐培訓,定期與員工進行溝通。
企業的首席信息安全官在2018年必須盡力推進網絡安全工作,那些有所作為的首席信息安全能夠為整個組織的風險緩解帶來個人影響。
2. 在網絡安全人員身上投入更多的時間和資源
根據ESG/ISSA的名為“網絡安全專業人員的生活和時代”的研究報告,可以得知目前企業的網絡安全團隊不堪重負,人手不足,并且沒有接受適當水平的培訓來提高他們的技能。此外,49%的人每星期至少分配一份新任務,如果他們沒有獲得公平對待的話,他們就會產生辭職的想法。
為了解決這些問題,首席信息安全官必須盡一切所能使網絡安全人員工作更加高效,充滿動力。這意味著需要更多的培訓、指導項目和職業發展。為了招募新的人才,首席信息安全官還應該努力使自己的組織成為卓越的網絡安全中心。其措施包括建立網絡安全文化,與專業組織合作,讓組織更多參與網絡安全研究和探討,并確保員工隨時受到激勵。
3.尋找機會采取先進的威脅預防措施
提高生產力的一種方法是通過先進的威脅防護新技術(如下一代端點安全軟件,微分段,安全DNS服務,威脅情報網關等)盡可能減少攻擊面。采用先進的威脅預防策略和措施可以降低安全攻擊的數量,使信息安全人員能夠將其工作重點放在高優先級的任務上,并具有更多的時間進行戰略規劃和技能開發。
4.更多地關注安全技術的發展和情報
首席信息安全官應重點關注2018年安全技術的合理化、整合和集成的發展,其目標是建立一個安全操作和分析平臺架構(SOAPA),以收集、規范化、處理、分析和處理日益增多的安全情報和信息。
同時,組織應該研究、測試、試用和部署提供人工智能的選擇性安全工具。ESG公司的研究表明,首席信息安全官可以通過將機器學習算法應用于現有安全工具(如端點安全軟件,網絡安全分析,威脅情報平臺,以及數據泄密防護),從而獲得最大的回報。這可以幫助提高已安裝技術的安全性,而無需添加復雜的新項目。
5.致力于自動化和編排人工流程
在網絡安全中,任何可以實現自動化的措施都應該實施采用。這包括收集數據、分析可疑文件,以及應用簡單的補救規則來阻止惡意活動。這里的警告最好引用比爾·蓋茨的一句名言:“任何業務使用技術的第一條規則是自動化應用于有效的操作提高效率。第二條是自動化應用于低效率的操作提高效率。”
換句話說,首席信息官們應該評估流程,爭取改進流程,否則他們最終會自動化/編排一個被破壞的流程,否定其潛在的好處。
最后,首席信息安全官應該可以通過云計算方案(而不是內部部署技術)簡化安全領域的工作或將任務完全外包給托管安全服務提供商(MSSP)或SaaS安全提供商,從而采用組合管理方法來實現網絡安全。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號