隨著越來越多的公司安排了CISO,在企業(yè)責(zé)任方面CISO似乎越來越接近其他的高管。不過有些CISO尚不知道如何與其他高管合作,另外一些CISO則仍然在試圖彌合技術(shù)和業(yè)務(wù)之間的溝通鴻溝。
無論在哪種情況下,這個(gè)職位還在不斷發(fā)展,CISO面臨著很多挑戰(zhàn)。在2016年RSA大會(huì)的小組討論會(huì)中,Baxter International醫(yī)療設(shè)備網(wǎng)絡(luò)安全技術(shù)主管Pavel Slavin表示,企業(yè)通常會(huì)優(yōu)先處理錯(cuò)誤的事情,而沒有發(fā)現(xiàn)他們真正面臨的挑戰(zhàn)。
“我們通常專注于制造安全錯(cuò)覺的東西——漂亮的報(bào)表、圖表和我們成功阻止的威脅,然而,63%的用戶已經(jīng)丟失了其私人醫(yī)療信息,并且去年我們有兩個(gè)輸液泵被攻擊,”Slavin表示,“我們可能過于強(qiáng)調(diào)我們的保護(hù)力度了。”
SANS研究所新興安全趨勢(shì)主管兼該討論小組主持人John Pescatore認(rèn)為,CISO需要發(fā)現(xiàn)其企業(yè)面臨的具體網(wǎng)絡(luò)安全挑戰(zhàn),并能夠解決這些問題。“CISO的挑戰(zhàn)是根據(jù)企業(yè)以企業(yè)所在的垂直行業(yè)、企業(yè)數(shù)據(jù)的價(jià)值以及其他因素平衡安全的重要性,”Pescatore稱,“為什么有些公司沒有遭遇數(shù)據(jù)泄露事故?那是因?yàn)樗麄冇懈哔|(zhì)量的成熟的安全團(tuán)隊(duì),并且,他們能夠在企業(yè)中引領(lǐng)某些變革。他們還有優(yōu)秀的CISO,以應(yīng)對(duì)企業(yè)、技術(shù)以及人員面臨的真正挑戰(zhàn)。”
那么,CISO面臨的共同挑戰(zhàn)是什么?下面讓我們來看看這些挑戰(zhàn):
CISO面臨的真正挑戰(zhàn)
據(jù)安全專家表示,有時(shí)候信息安全團(tuán)隊(duì)沒有做好的都是簡單的事情。Herjavec Group首席執(zhí)行官兼創(chuàng)始人Robert Herjavec表示,“密碼重置可能是大多數(shù)公司會(huì)遺漏的最簡單的事情之一。”
RSA大會(huì)另一個(gè)小組成員是Rich Products公司首席信息安全官Don Smyczynski,他談到了他最關(guān)注的問題:
1.知識(shí)產(chǎn)權(quán)遭竊取。Smyczynski稱:“人們認(rèn)為數(shù)據(jù)是他們的,他們可以任意處理數(shù)據(jù);我們可以很好地保護(hù)流程,但數(shù)據(jù)仍能夠被復(fù)制。這是真正重要的。”
2.工業(yè)控制系統(tǒng)。“我們?cè)趦鼋Y(jié)方面做了很多,而這些冰柜需要進(jìn)行適當(dāng)管理在白天保持足夠低溫,在晚上不會(huì)太冷,”Smyczynski表示,“我們非常需要了解相關(guān)風(fēng)險(xiǎn),以及保護(hù)所有IP連接的工業(yè)控制系統(tǒng),無論是凍結(jié)還是離心機(jī),這關(guān)系到生命安全。”
3.物聯(lián)網(wǎng)。“工業(yè)工程師認(rèn)為他們知道一切,在他們操作之前,不想等待IT安全來給他們指示;他們想要安全而迅速地工作。”
4.第三方供應(yīng)商管理。“我們的生產(chǎn)和制造工廠雇傭了很多人員,他們有權(quán)限訪問每個(gè)位置;查看多少人訪問系統(tǒng)是一項(xiàng)艱巨的任務(wù),有些人甚至已經(jīng)離開公司,”Smyczynski稱,“考慮到供應(yīng)商的網(wǎng)絡(luò)是公司自己網(wǎng)絡(luò)的擴(kuò)展,供應(yīng)商網(wǎng)絡(luò)也應(yīng)該被考慮進(jìn)來。你的供應(yīng)商的安全做法可能最終成為最大的影響因素。”
CISO面臨的其他挑戰(zhàn)包括合規(guī)性挑戰(zhàn)。對(duì)于添加到企業(yè)網(wǎng)絡(luò)的新設(shè)備或系統(tǒng),CISO可能需要采取冗長而復(fù)雜的步驟來確保企業(yè)的合規(guī)性。vArmour公司首席信息安全官(也是Sears online前任首席信息安全官)Lazarikos表示:“大多數(shù)CISO會(huì)圍繞合規(guī)性來制定預(yù)算,將項(xiàng)目與投資關(guān)聯(lián)在一起。”
例如,如果設(shè)備或機(jī)器將被放在監(jiān)管網(wǎng)絡(luò)中,那么,對(duì)該設(shè)備的投資應(yīng)該考慮到以下安全成本:
我必須執(zhí)行供應(yīng)商審查
設(shè)備如何進(jìn)行修復(fù)?
誰有權(quán)限訪問該設(shè)備/系統(tǒng)?
該設(shè)備需要何種類型的安全監(jiān)控?
誰在監(jiān)控該設(shè)備的安全問題,供應(yīng)商還是最終用戶?
如果設(shè)備被攻擊,誰將會(huì)通知最終用戶以及如何通知?
無論是合規(guī)性、IoT安全性還是基本的密碼管理,現(xiàn)在的CISO都面臨著很多挑戰(zhàn)。而且,更重要的是,這些挑戰(zhàn)和技術(shù)都在不斷變化,迫使CISO和企業(yè)領(lǐng)導(dǎo)團(tuán)隊(duì)不斷發(fā)展并調(diào)整自己的安全計(jì)劃。
結(jié)論
CISO的責(zé)任是保護(hù)其管轄范圍內(nèi)的東西,但說起來很容易,事情不止如此。對(duì)于不是CISO管轄范圍內(nèi)的問題該怎么辦呢?下一部分將會(huì)側(cè)重這些問題并探討如何解決這些問題。
京公網(wǎng)安備 11010502049343號(hào)