根據(jù)思科安全解決方案的負(fù)責(zé)人表示,鑒于支持網(wǎng)絡(luò)攻擊犯罪的基礎(chǔ)設(shè)施變得能夠更有效地加快發(fā)展新的安全威脅,這迫使企業(yè)的首席信息安全官們需要不斷加強(qiáng)新技能的學(xué)習(xí),以確保其所在企業(yè)業(yè)務(wù)和所處工作環(huán)境的安全發(fā)展。
他們必須對網(wǎng)絡(luò)安全有扎實(shí)過硬的知識,而且還必須能夠很好地溝通,發(fā)掘并管理企業(yè)內(nèi)部安全人才,準(zhǔn)備預(yù)判安全威脅環(huán)境將如何發(fā)生變化,思科安全解決方案副總裁詹姆斯·莫布里表示說。詹姆斯·莫布里曾擔(dān)任安全咨詢公司Neohapsis的前任CEO,該公司去年被思科收購。
在他的日常工作中,莫布里經(jīng)常需要與一些企業(yè)的首席信息安全官們保持聯(lián)系,與他們探討他們當(dāng)前所面臨的困難和挑戰(zhàn),以及他們?yōu)榱吮苊獍l(fā)生數(shù)據(jù)泄露和安全威脅事件而損害他們的業(yè)務(wù)所正在采取的相關(guān)措施。
最近,Network World網(wǎng)站高級編輯提姆·格林尼的采訪,并就這些挑戰(zhàn)和困難,以及首席信息安全官們應(yīng)該如何應(yīng)對他們角色的改變等相關(guān)話題談到了自己的看法。以下是采訪實(shí)錄。
Network World(NWW):在現(xiàn)如今這樣一個(gè)瞬息萬變且充滿活力的企業(yè)市場環(huán)境下,如果要您為想要獲得成功的企業(yè)首席信息安全官(CISO)們提出一些建設(shè)性的意見和建議的話,排名前四或前五位的建議有哪些?
莫布里:首先,而且也是最重要的是,CISO們?nèi)匀恍枰獙τ诎踩瓌t有很深刻的理解,需要了解安全涉及到了三大主要領(lǐng)域:人員、流程和技術(shù)。
其次,盡可能多的對于圍繞安全威脅的因素有廣泛的理解。安全性實(shí)際上是以安全威脅為中心的,其是關(guān)乎理解如何構(gòu)建一款在任何情況下,均能夠?yàn)槟髽I(yè)的業(yè)務(wù)帶來最大的靈活性的平臺。您必須預(yù)見到安全事態(tài)的發(fā)展,并確保您企業(yè)所構(gòu)建的平臺能夠非常迅速的擴(kuò)展,和非常迅速的調(diào)整。我想說,務(wù)必要牢記這一點(diǎn),以安全威脅為中心,并了解所有安全威脅的動(dòng)機(jī)所在。
領(lǐng)導(dǎo)能力將是下一個(gè)需要關(guān)注的方面。鑒于現(xiàn)如今企業(yè)首席信息安全官們的角色定位正在不斷演變升級,因此他們需要具備強(qiáng)有力的戰(zhàn)略領(lǐng)導(dǎo)能力,這不僅能夠讓他們能夠很好的領(lǐng)導(dǎo)所屬的機(jī)構(gòu),并且還能夠引領(lǐng)企業(yè)內(nèi)部組織架構(gòu)的變化。這并不是很容易的事。這需要涉及到各種能力的整合,而這種多能力的整合尚未在多數(shù)CISO身上被看到或被發(fā)掘出來。
除上述之外,我只想簡單的說CISO們需要確定如何在人才嚴(yán)重短缺的環(huán)境中打造一支企業(yè)內(nèi)部的團(tuán)隊(duì)。您要如何將手下人員組織起來,加速學(xué)習(xí)能力,并提高整個(gè)企業(yè)圍繞著安全的IQ?您必須找到各種發(fā)掘和培養(yǎng)人才的方法,不僅要讓他們能夠更好的發(fā)揮自身的潛能,而且要關(guān)注留住人才的方法。您怎么才能做好管理呢?我認(rèn)為這是企業(yè)的首席信息安全官們所面臨的一大主要挑戰(zhàn),首席信息安全官們最好的是要能夠很好的吸引人才,發(fā)掘人才和留住人才。
首席信息安全官的角色定位是如何發(fā)生轉(zhuǎn)變的?
與早些日子的關(guān)注所有管理領(lǐng)域相比較,我認(rèn)為他們現(xiàn)在的角色定位更傾向于具有戰(zhàn)略性質(zhì),所以,我們現(xiàn)在看到很多首席信息安全官要么直接向CIO報(bào)告或者不再是CIO的下屬,而需要與CIO一起向CFO或COO匯報(bào)。
我認(rèn)為這很重要,因?yàn)槠髽I(yè)大部分的策略的推出均來自企業(yè)頂層,而一旦企業(yè)頂層的理念與首席信息安全官們的想法一致,他們就會(huì)有更好的機(jī)會(huì)去實(shí)施他們的計(jì)劃。
企業(yè)網(wǎng)絡(luò)環(huán)境如何變化?
這方面有一系列的例子都是圍繞著影子IT的。許多企業(yè)甚至不熟悉他們允許員工訪問的基于云的系統(tǒng)。這也意味著企業(yè)不熟悉員工使用的所有的主要平臺,從而增加了安全風(fēng)險(xiǎn)。所以您看到了影子IT的出現(xiàn),您可以看到企業(yè)員工隨意下載移動(dòng)應(yīng)用程序。有數(shù)據(jù)顯示,大約97%的安卓移動(dòng)應(yīng)用程序都有某種程度的安全或隱私風(fēng)險(xiǎn),而這些應(yīng)用程序都是被企業(yè)員工下載的,這些應(yīng)用程序也可能通過其所安裝設(shè)備上的應(yīng)用程序窺探到了企業(yè)的數(shù)據(jù)信息。
然后,還有物聯(lián)網(wǎng)。這意味著會(huì)有很多設(shè)備和不同的人能夠?qū)崿F(xiàn)互聯(lián),但大多數(shù)設(shè)備其實(shí)沒有被連接或是未受保護(hù)的設(shè)備。在我們擔(dān)任顧問期間,我們做了大量工作,了解到諸如輸液泵和家庭自動(dòng)化系統(tǒng)等等現(xiàn)在都擁有IP地址。我們可以看到融合的設(shè)備正在創(chuàng)造一個(gè)相當(dāng)有趣的挑戰(zhàn),但企業(yè)首席信息安全官們必須跟上這一趨勢。這種不斷變化的業(yè)務(wù)模型正是他們所面臨的最大問題之一。
另一個(gè)是復(fù)雜度。我們總是說,在安全管理中,最薄弱的環(huán)節(jié)是人。而我們現(xiàn)在則將技術(shù)將到這一最薄弱環(huán)節(jié)的人的手中,首席信息安全官們對于這些人的實(shí)際操作可能具有、也可能不具有可視性。我認(rèn)為首席信息安全官們遇到的挑戰(zhàn)是,很多安全攻擊仍然發(fā)生在應(yīng)用程序?qū)樱髽I(yè)現(xiàn)在對于這些應(yīng)用程序只有較少的可視度,這將在員工操作過程中帶來風(fēng)險(xiǎn)增加的機(jī)會(huì)。
我認(rèn)為這另一方面關(guān)乎到設(shè)備數(shù)據(jù)損失的標(biāo)準(zhǔn)。企業(yè)有些數(shù)據(jù)是可以丟失的,無論其是從平板電腦,還是從移動(dòng)設(shè)備,所以這是一個(gè)組合因素,更不要說有時(shí)這些已經(jīng)是超出您企業(yè)范圍的第三方和企業(yè)外部的應(yīng)用程序了。
我認(rèn)為,當(dāng)您隨著企業(yè)業(yè)務(wù)活動(dòng)范圍的擴(kuò)展,設(shè)備和人員均是這一系統(tǒng)的一部分,包括第三方,那么相關(guān)安全風(fēng)險(xiǎn)相當(dāng)會(huì)明顯上升。
您怎么看待首席信息安全官應(yīng)對這些變化?
所以現(xiàn)在我們開始看到由首席信息安全官們所推動(dòng)的試圖把事情簡單化的運(yùn)動(dòng),以便確保能夠從技術(shù)整合中獲得價(jià)值最大化,確保企業(yè)環(huán)境管理能夠更容易。
現(xiàn)在,我們?nèi)绾慰创刮覀兡軌虮欢ㄎ粸橐?guī)模化、被定位為插入新技術(shù)的能力、使得環(huán)境管理更容易、連接更容易的安全架構(gòu)的方式?這就是我們所看到的首席信息安全官們所更多推動(dòng)的其他趨勢:“讓我們來打造一幅企業(yè)藍(lán)圖來推動(dòng)業(yè)務(wù)發(fā)展”,而不只是擔(dān)心戰(zhàn)術(shù)方面的問題,如“我怎么看到企業(yè)環(huán)境中的漏洞?”
首席信息安全官們?nèi)绾卧u價(jià)環(huán)境安全威脅的變化?
如果說真有什么實(shí)質(zhì)性的轉(zhuǎn)變的話,那就是安全攻擊性質(zhì)的轉(zhuǎn)變了。他們更先進(jìn),因?yàn)楣粽哂辛烁玫馁Y助,并且有更多的資源投入逃避防御所需的技術(shù)類型。這對于可視化和能見度造成了一大挑戰(zhàn),因?yàn)槿绻粽兊迷絹碓较冗M(jìn),企業(yè)必須具備看到這些攻擊的能力,并在當(dāng)有些安全攻擊事件正在發(fā)生時(shí)確定的能力,這樣就可以對安全攻擊事件更快的做出響應(yīng)。
所以更高級先進(jìn)的攻擊意味著我們現(xiàn)在可以看到企業(yè)的首席信息安全官們需要尋找更多的安全威脅情報(bào),大數(shù)據(jù)分析,這樣他們就可以不僅僅是通過指標(biāo)來分析安全風(fēng)險(xiǎn),還需要通過數(shù)據(jù)分析來識別與他們環(huán)境相關(guān)的各個(gè)方面——包括防火墻,終端,電子郵件,網(wǎng)絡(luò),并充分利用所有這些數(shù)據(jù),以試圖進(jìn)行分析和預(yù)判。
首席信息安全官們?nèi)绾翁幚砗细駟T工短缺的問題?
當(dāng)我們在與來自不同公司的首席信息安全官聊天時(shí),我們往往會(huì)碰到有大量首席信息安全官抱怨招不到合適人才的問題。因此,當(dāng)您思考分析這方面的問題時(shí),會(huì)開始一點(diǎn)點(diǎn)的轉(zhuǎn)向如何獲得更高的可視化,自動(dòng)化的能力,提升不同的業(yè)務(wù)合作的能力,并找到方法以促進(jìn)合作環(huán)境的建立,使您企業(yè)可以充分利用跨企業(yè)的人才。我們除了在首席信息安全官們那里看到他們?nèi)绾胃杆俚恼衅溉瞬胖猓鲜鏊悸肥俏覀儚呐c他們的探討中較多涉及的。我們還看到他們更多的實(shí)施員工培訓(xùn)計(jì)劃,他們試圖把剛剛走出校門的聰明畢業(yè)生盡快培養(yǎng)成熟練員工。我認(rèn)為所有的事情都是積極的,但人才短缺似乎是一個(gè)挑戰(zhàn),但試圖填補(bǔ)會(huì)有很大的差距。
在您看來,首席信息安全官們?yōu)榱藙?chuàng)建安全的網(wǎng)絡(luò)都采用了什么辦法呢?
我們經(jīng)常聽到的是,“首先,讓我確保我沒有任何明顯的缺陷。”當(dāng)這種情況發(fā)生時(shí),通常他們正在尋找?guī)准虑椤K麄儠?huì)查看任何應(yīng)用程序:“我的應(yīng)用程序安全嗎?”,或者正在努力確保首先是網(wǎng)絡(luò),然后是基礎(chǔ)設(shè)施和應(yīng)用程序的安全性。他們花了大量的時(shí)間在應(yīng)用程序上,并試圖確保該應(yīng)用程序是安全的,而網(wǎng)絡(luò)也得到了適當(dāng)分割,部署了恰當(dāng)?shù)陌踩蚣堋?/p>
這些都是需要做的工作,然后需要重點(diǎn)關(guān)注周圍人的反應(yīng)。正是圍繞周圍人的反應(yīng),使他們能夠做好準(zhǔn)備工作,然后是關(guān)于一旦發(fā)生突發(fā)安全事故,如何快速整合,遏制和回到工作狀態(tài)中。
首席信息安全官們是如何看待物聯(lián)網(wǎng)的?
我想說的是,如果有一個(gè)領(lǐng)域每個(gè)人都知道其即將到來,而且其是通過很多方式定義的,那便是IoT或者說是整個(gè)IoE(Internet of Everything),這將是非常有趣的。我們現(xiàn)在所看到的情況是:“我要在網(wǎng)絡(luò)上使用我的設(shè)備,我想確保其是安全的。”但其真正卻應(yīng)該是:“我怎樣在一個(gè)完整的業(yè)務(wù)流程中實(shí)現(xiàn)數(shù)字化?我現(xiàn)在如何才能在一個(gè)曾經(jīng)是由工業(yè)手段推動(dòng)的流程中添加傳感器,收集信息,并應(yīng)對安全攻擊,然后使用所有的信息反饋到后端的情報(bào),使我能夠做出決策,這可能是基于市場的決定,針對特定產(chǎn)品的需求,或者可能是決定農(nóng)民如何去對不同的土地施肥,以幫助提高產(chǎn)量?”
首席信息安全官們必須開始深入思考,而不只是試圖填補(bǔ)漏洞。這也是圍繞著促使首席信息安全官角色定位變得更具戰(zhàn)略意義的其中一件事情。除了技術(shù)能力,他們還必須確保他們對于業(yè)務(wù)流程及其如何發(fā)展有著非常敏銳的感知。
京公網(wǎng)安備 11010502049343號