根據安全軟件提供商Proofpoint公司發布的一份名為《2021年CISO報告之聲》的調查報告,大約64%的首席信息安全官擔心他們的公司在未來一年中面臨網絡攻擊的重大風險,66%的首席信息安全官認為他們所在的公司沒有做好應對的準備。
作為回應,一些首席信息安全官正在調整策略以加強他們的安全態勢。他們似乎相信自己走在正確的軌道上。Proofpoint公司在報告中指出,65%的首席信息安全官認為,到2023年,他們將能夠更好地抵御網絡攻擊并從中恢復。
當然,每個首席信息安全官都有自己的安全路線圖,但已經出現了一些共同元素。根據首席信息安全官、分析師和安全領導者的說法,當今的首席信息安全官優先級列表包含以下15個戰略重點:
1.關注安全基礎
安全基礎仍然是重中之重。數字咨詢機構Mobiquity公司的工程副總裁兼信息安全官Tyrone Jeffrees說:“這并不是一個有趣的網絡安全話題,但重要的是我們確保正確處理攔截和處理。”
Jeffress為此表示,首席信息安全官需要專注于完美地執行資產管理、修補、漏洞管理和配置,以及提供安全意識教育和培訓。
Proofpoint公司調查的數據證實了這一觀點,并指出加強核心安全控制是首席信息安全官最常提及的優先事項之一。
2.識別和降低第三方風險
資深網絡安全領導者、《重大漏洞:共享的網絡安全課程》一書的合著者Neil Daswani表示,SolarWinds公司的數據泄露事件將第三方風險提升到首席信息安全官優先級列表的前列。
Daswani表示,這起重大網絡攻擊事件在2020年底首次被發現,首席信息安全官需要了解其所在公司使用的所有安全技術,以便他們能夠創建適當的流程來審查供應商,并制定有關如何更好地降低風險的策略。
3.確保企業代碼內的安全性
信息安全服務商Crucyble公司的共同創始人Brian Johnson表示,首席信息安全官越來越專注于發現企業使用的代碼中的漏洞。
他說,“我們如今看到了很多代碼問題,我們使用的第三方代碼有可能是惡意的開源代碼。”他指出,他和其他首席信息安全官正在投入資源來檢查正在部署的新代碼,并重新訪問已經部署的代碼,以根除任何漏洞或錯誤。
4.防御勒索軟件攻擊
勒索軟件攻擊在2021年達到新水平,對Colonial輸油管道和跨國肉類包裝商JBS公司的網絡攻擊關閉了關鍵基礎設施,影響了美國部分地區民眾的日常生活。很多首席信息安全官安全負責人表示,此類消息使他們處于高度戒備狀態。
Vonage公司首席信息兼首席信息安全官Sanjay Macwan說,“這意味著通過聘請第三方安全和合規性評估人員以及行業領先的安全研究人員/測試人員采用內部測試和外部測試方法不斷測試安全態勢。另一個關鍵方面是豐富的數據驅動和現代安全監控,以識別和系統地應對威脅。通過正在進行的桌面演習測試各種威脅場景,測試企業的安全準備情況也是至關重要的。”
5.獲得企業董事會的支持
斯坦福大學高級安全研究中心聯合主任Daswani說,“首席信息安全官的另一個優先事項是確保企業高管了解威脅形勢中正在發生的事情,以及需要什么樣的額外投資來應對這些威脅。”
他表示,這讓更多的首席信息安全官直接向企業董事會陳述或報告。科技研究和咨詢機構Gartner公司估計,到2025年,40%的企業將成立專門的網絡安全委員會,而目前只有10%。該公司的調查還表明,企業董事會現在將網絡安全相關風險視為企業的第二大風險,僅次于監管合規風險。
6.支持數字化轉型和戰略目標
隨著企業繼續加速數字化轉型,首席信息安全官有望跟上其發展步伐。因此,首席信息安全官將安全視為一種業務推動因素。
數字服務和信息管理提供商Ricoh公司企業和信息安全副總裁兼首席安全官David Levine說,“從企業董事會的角度來看,優先事項是支持業務和業務目標,并且這樣做使我們能夠安全地開展業務,以保護我們和客戶的業務安全,同時可以提供良好的客戶體驗。這是總體準則。”
專家表示,首席信息安全官支持該任務的方式根據企業的情況而有所不同,它正成為安全團隊更普遍的優先事項。
7.提高靈活性
Kriss Warner是Info-Tech研究集團網絡安全咨詢的全球實踐負責人,也是ISACA認證的首席信息安全官,他認為大多數首席信息安全官的相關優先事項是快速適應,同時保持彈性。
Warner說,首席信息安全官需要帶領團隊以更敏捷的模式工作,以跟上業務發展的步伐。他補充說,“自然災害、網絡攻擊以及企業董事會的要求促使首席信息安全官更加靈活。”
8.提升團隊技能
美國瑪麗維爾大學網絡安全助理教授BrianM.Gant指出,如今對安全人才的競爭非常激烈,冠狀病毒疫情加劇了市場競爭。根據Gartner公司的調查,對信息安全職位的需求激增,美國市場增長了65%。因此,首席信息安全官應該優先考慮保留現有員工,并培訓他們掌握保護運營環境所需的特定技能。他特別強調員工提高云安全和威脅情報以及訪問和身份管理方面的技能。
9.解決物聯網安全問題
市場研究機構IoT Analytics公司在其發布的2020年物聯網狀況報告中估計,2020年有120億臺設備連接物聯網。該公司預測,到2025年,全球物聯網連接數量將超過300億臺。
Gant說,“一切都在互聯,這是首席信息安全官必須從戰略上考慮的事情。”
他表示,首席信息安全官更加關注物聯網設備及其產生的數據的安全性。他們需要制定策略以準確了解連接到網絡的內容和設備數量,還需要重新審視他們在物聯網中采用的身份和訪問管理計劃。
10.設計上的安全
Vonage公司首席信息官兼首席信息安全官Macwan表示,安全性是首席信息安全官的優先事項。
他說,“簡而言之,我們所做的一切就是為客戶提供的產品和服務,或者為我們的員工提供體驗的工具和技術,這些都必須從一開始就嵌入適當的安全、隱私、信任和合規性。”
很多首席信息安全官也表示將設計上的安全列為優先事項。技術提供商Copado公司的安全和IT負責人Kyle Tobener指出,將應用程序部署到生產環境之前,在開發過程中發現安全問題時,修復這些問題的成本會呈指數級下降,因此,安全反饋可以使開發人員能夠盡早、安全地做出與安全相關的決策,這是首席信息安全官路線圖的關鍵部分。”
11.提高安全自動化
為了幫助安全團隊更好地應對更廣泛的IT環境和不斷增加的網絡攻擊活動,許多首席信息安全官加快了自動化技術的部署。
事實上,Proofpoint公司調查將“提高安全自動化”列為其響應首席信息安全官確定的優先事項列表中的第4位。
Jeffress表示,首席信息安全官正在使用自動化來更好地識別威脅和加快響應速度,并在新代碼的開發和部署到環境中的整個過程中執行安全標準。他指出,自動化是創建安全代碼、通過設計實現安全性以及轉向日益流行的零信任安全模型的關鍵部分。
12.加強遠程工作安全
Proofpoint公司的調查表明,將近三分之二的首席信息安全官認為遠程工作使他們的公司更容易受到網絡攻擊,其中58%的受訪者指出,自從實現了廣泛的遠程工作以來,網絡攻擊的針對性更強。
Levine說,“人們可能并不是故意將自己和企業置于危險之中,而是因為工作環境不同。”
他表示,這將促使首席信息安全官制定零信任和身份優先的安全策略,以創建安全的隨時隨地工作的商業模式。
13.保護云安全
將近40%的企業在451Research公司開展的調查中表示在疫情持續蔓延期間增加了公有云的使用,其中絕大多數企業認為,向公有云的遷移將是永久性的。
Levine所在的公司也順應這一趨勢,這讓他重新思考安全戰略。Levine正在部署新的工具、流程和治理模型來支持基礎設施,并實施一項全面的云安全治理計劃,以使其帶領的團隊了解企業采用的云計算環境,并強制遵守安全法規和標準。
14.跟上隱私法規不斷發展的步伐
美國弗吉尼亞州于2021年初通過了《消費者數據保護法》(CDPA),并頒布了類似于《加利福尼亞消費者隱私法》的法規。科羅拉多州也在今年7月頒布了科羅拉多州隱私法(CPA)。
此類行為造成了企業必須跟蹤和遵循越來越多的隱私法規。
Warner指出,這讓首席信息安全官與企業其他高管合作部署技術和流程,以有效和高效地應對當前的隱私和安全法規。
他說,“首席信息安全官需要將嚴格的隱私和安全法整合到他們的業務計劃中來做到這一點。”
15.制定連續性計劃以應對全球性事件
Levine正在解決疫情所揭示的另一個安全問題:業務連續性計劃中的缺陷。他表示,首席信息安全官正在重新審視他們的連續性和彈性戰略,這些戰略在很大程度上沒有考慮到全球性影響事件。
他說,“我們制定了計劃,但并沒有考慮到由于發生疫情而導致大部分員工在一夜之間轉向遠程工作。”他補充說,原有計劃假設員工在一個受影響地區轉移到未受影響的另一個地區工作,而現在必須重新思考業務連續性。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號