作為負(fù)責(zé)確保業(yè)務(wù)運(yùn)營(yíng)和數(shù)據(jù)的安全性和連續(xù)性的企業(yè)高管，金融機(jī)構(gòu)的首席信息安全官都非常清楚這一事實(shí)。但是，隨著威脅環(huán)境的不斷變化和發(fā)展，首席信息安全官需要定期重新評(píng)估其安全計(jì)劃，以確保維護(hù)企業(yè)的安全和數(shù)字化業(yè)務(wù)的增長(zhǎng)。

 

那么，首席信息安全官應(yīng)該從哪里開(kāi)始呢?

 

 

首席信息安全官的第一步是評(píng)估現(xiàn)有的網(wǎng)絡(luò)安全協(xié)議、政策和程序，提出諸如和當(dāng)前網(wǎng)絡(luò)安全計(jì)劃的現(xiàn)狀相關(guān)的問(wèn)題。哪些團(tuán)隊(duì)負(fù)責(zé)什么?人員、流程和技術(shù)目前如何協(xié)同工作?從更廣泛的角度看問(wèn)題將有助于確定需要進(jìn)一步關(guān)注的任何領(lǐng)域。

 

接下來(lái)，重要的是要更深入地評(píng)估企業(yè)的安全戰(zhàn)略的真正成熟程度，確定哪些是有效的，哪些是無(wú)效的。部署庫(kù)存發(fā)現(xiàn)工具，對(duì)連接到企業(yè)網(wǎng)絡(luò)的硬件和軟件進(jìn)行分類，可以幫助首席信息安全官更好地了解企業(yè)的攻擊面，并發(fā)現(xiàn)任何漏洞。這些工具能夠掃描網(wǎng)絡(luò)，定位受保護(hù)和不受保護(hù)的端點(diǎn)以及連接的物聯(lián)網(wǎng)設(shè)備。

 

除了在企業(yè)的網(wǎng)絡(luò)戰(zhàn)略中標(biāo)記出優(yōu)勢(shì)和劣勢(shì)之外，還必須審查任何特定行業(yè)的風(fēng)險(xiǎn)，以及目前如何應(yīng)對(duì)這些風(fēng)險(xiǎn)。首席信息安全官還需要檢查過(guò)去的表現(xiàn)和對(duì)網(wǎng)絡(luò)事件的響應(yīng)能力，以及企業(yè)的數(shù)據(jù)安全和隱私實(shí)踐是否符合他們的要求。

 

 

一旦評(píng)估階段結(jié)束，首席信息安全官應(yīng)該應(yīng)用其所學(xué)到的知識(shí)。首先要對(duì)其研究結(jié)果進(jìn)行詳細(xì)分析，并為未來(lái)制定路線圖，重點(diǎn)關(guān)注短期和長(zhǎng)期目標(biāo)。

 

這些目標(biāo)可能包括在企業(yè)中建立更強(qiáng)的客戶信任，安全保護(hù)和處理數(shù)據(jù)，自動(dòng)化網(wǎng)絡(luò)安全以提高運(yùn)營(yíng)效率，或更好地利用威脅情報(bào)來(lái)確保運(yùn)營(yíng)安全。加強(qiáng)企業(yè)內(nèi)部的網(wǎng)絡(luò)安全政策，在企業(yè)內(nèi)部開(kāi)展活動(dòng)，宣傳安全工作實(shí)踐的重要性，這應(yīng)該是當(dāng)務(wù)之急。

 

制定例行業(yè)績(jī)報(bào)告計(jì)劃是關(guān)鍵。報(bào)告應(yīng)該包括最相關(guān)的安全指標(biāo)，并提供關(guān)于企業(yè)安全目標(biāo)進(jìn)展的定期狀態(tài)更新。這些報(bào)告可以在新的學(xué)習(xí)、勝利和挑戰(zhàn)發(fā)生時(shí)標(biāo)記出來(lái)，并可以驗(yàn)證正在使用的戰(zhàn)術(shù)和技術(shù)，或者突出需要解決的安全漏洞。

 

有了這些目標(biāo)和更廣泛的戰(zhàn)略準(zhǔn)備，直接向利益相關(guān)方傳達(dá)這些計(jì)劃至關(guān)重要，并確保對(duì)已經(jīng)確定的最優(yōu)先事項(xiàng)的認(rèn)同和一致。

 

 

隨著利益相關(guān)者的加入，現(xiàn)在是執(zhí)行這一戰(zhàn)略的時(shí)候了。在實(shí)施過(guò)程中，首席信息安全官應(yīng)提出明確的期望，并審查報(bào)告指標(biāo)，以評(píng)估所取得的進(jìn)展。

 

在這一階段，首席信息安全官應(yīng)側(cè)重于對(duì)不斷變化的威脅環(huán)境具有更強(qiáng)的適應(yīng)性和反應(yīng)能力，并充分利用新情報(bào)。及時(shí)了解網(wǎng)絡(luò)安全社區(qū)收集的最新威脅情報(bào)至關(guān)重要，因?yàn)榱私庑碌暮桶l(fā)展中的網(wǎng)絡(luò)漏洞、行業(yè)特定的威脅趨勢(shì)、記錄在案的戰(zhàn)術(shù)、技術(shù)和程序(TTP)、妥協(xié)的指標(biāo)(IoC)、零日漏洞和攻擊模式對(duì)加強(qiáng)企業(yè)的網(wǎng)絡(luò)防御極為重要。

 

為了保持有效的安全態(tài)勢(shì)并保持敏捷性，企業(yè)還應(yīng)根據(jù)需要加強(qiáng)其內(nèi)部安全團(tuán)隊(duì)，并確保他們的技術(shù)工具符合目標(biāo)——即加強(qiáng)端點(diǎn)保護(hù)、云安全、檢測(cè)和響應(yīng)能力等。

 

 

隨著網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜性不斷上升，首席信息安全官面臨著一項(xiàng)艱巨的任務(wù)——在不斷變化的安全環(huán)境中保護(hù)業(yè)務(wù)連續(xù)性和數(shù)據(jù)，同時(shí)適應(yīng)整體業(yè)務(wù)目標(biāo)和其他內(nèi)部和外部因素的變化。

 

通過(guò)經(jīng)過(guò)深思熟慮的發(fā)現(xiàn)、評(píng)估、規(guī)劃、執(zhí)行和維護(hù)的過(guò)程，重新評(píng)估企業(yè)的安全態(tài)勢(shì)和戰(zhàn)略，首席信息安全官可以最大化其資源和效率，并確保企業(yè)不斷朝著可能的最強(qiáng)安全態(tài)勢(shì)發(fā)展。

 

 

國(guó)內(nèi)主流的to B IT門戶，同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智（www.cioall.com）。同時(shí)運(yùn)營(yíng)18個(gè)IT行業(yè)公眾號(hào)（微信搜索D1net即可關(guān)注）。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。