精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

安全最佳實踐與金融最佳實踐之間存在相通之處。事實上，安全主管們可以從股神巴菲特保護自身金融投資的方法上學到很多。

　　歷史經驗告訴我們，人類從來不會汲取歷史教訓。

——巴菲特

2017年，公司企業在數據防護技術上的投資總額高達864億美元，是5年前的2倍。同時，似乎每隔一周就會爆出一起重大安全事件。于是，安全主管們紛紛自問：我的安全投資真的有用嗎？

面對越來越危險的威脅態勢，大多數安全團隊在傳統安全技術和管理兩方面都加倍投入。但這一策略并沒有什么效果。因為隨著IT基礎設施的發展，網絡攻擊也在不斷演進，10年前效果很好的安全工具在今天這個分散而動態的世界里不再有效。

給CISO的建議：定期評估自身投資的效果

像巴菲特評估他投資組合一樣評估自己安全技術組合的投資回報率(ROI)。無論是按季度還是按年度，你得制定一個框架來定期評估自己在人力、過程和技術投資上的效果。可以圍繞事件減少率、應用部署速度、IT總開支節省、合規時間和客戶接受度等方面定義衡量標準，這樣你就能對自己投資的安全工具哪些有用哪些沒用有個準確的衡量，可以據此作出恰當的調整。

風險來自于不知道自己正在做什么。

——巴菲特

盡管很多安全主管都懼怕“盲目行動”，也就是無法發現自家公司設備上的惡意軟件，但現實就是大多數CISO實際上對自己的數據中心和云環境壓根兒沒有可見性。他們根本不清楚公司的應用怎么跨網絡通信，也不知道哪些通路是脆弱的。因此，這些CISO用各種威脅檢測技術將自己的系統層層包裹，而自己就被淹沒在充斥著誤報的大量警報中，沒有精力響應真正的威脅。

給CISO的建議：弄清自己什么方面最脆弱

建立一張囊括了應用、用戶和網絡間通信方式的通聯圖，這樣才可以了解自己的攻擊界面和最大的弱點所在。就像醫生靠核磁共振(MRI)看清患者身體中的各個關節，然后制定出合理治療方案；安全主管應確保自己了解自家數據中心和云環境中的各種連接，以便弄清所有可能的攻擊途徑，知道哪些位置是最薄弱的環節。掌握了這些情報，CISO就可以合理調整安全投資策略，優先防護敏感區域，有效管理警報，專注響應真正的威脅。

我不指望自己跳過2米高的欄桿：我會找那些自己能邁過的30厘米高的。

——巴菲特

有3個最佳實踐可以降低風險，抑制安全威脅蔓延；它們都是非常基礎的基本要求，然而卻往往被忽視：

a) 打補丁，比如以最新的軟件來更新操作系統和應用；

b) 多因子身份驗證，比如對企業網絡、系統和應用要求多因子身份驗證；

c) 分隔，比如分隔高價值資產和低價值資產。

在網絡世界中投資這些簡單的安全技巧，就好比在金融領域投資債券：收益是明白可見且持續的。

給CISO的建議：別忽視基礎

別急于追趕最熱門的新安全技術，先做好基礎工作。如果你還沒在公司的設備、數據中心和云環境中投入補丁更新、多因子身份驗證和分隔，那你就錯過了3大最基礎的安全最佳實踐，錯失了保障公司安全的最佳投資回報機會。

我的伯克希爾·哈撒韋公司與大多數企業一樣，股息收益遠比資本收益高得多。

——巴菲特

大多數企業寧愿快速采納新技術也不愿從現有安全投資（技術、人或過程）中創造其他紅利。安全及IT主管應緊密合作，確保安全投資符合公司整體IT戰略。隨著公司將更多工作流、應用和數據遷移向云端，要確保安全解決方案不僅僅跟上威脅發展態勢，還要可以切實推動公司更快達成IT和安全目標。

給CISO的建議：確保安全投資符合公司整體IT戰略

安全應成為業務推動器，而不是抑制劑。確保在遺留業務上的安全投資能補足公司邁向云端并采納新技術和新工作流的缺口。

你夠聰明的話，就無需借錢都能賺到很多。

——巴菲特

2017年，公司企業在IT上的總花銷大約有3.5萬億美元，其中安全開支只占不到3%。但正如我們去年從各大安全事件中見證的，一次黑客攻擊就可以嚴重挫傷一家公司的市值?；蛘?，用巴菲特的話講就是：“打造一家公司的信譽需要花20年，毀掉它只需要5分鐘。”如果安全是一家公司的基石，那么企業應據此為之分配相應的投入資金的資源。

給CISO的建議：將安全視為投資而不是費用中心

確保有足夠的資金和資源投入到安全中以保證投資有效性。對安全投資進行績效評估，向董事會及其他決策者清晰展示安全投資的ROI，以便公司高層將安全視為支撐公司收益流及整體業務價值的必要資源。

總結

今天這種滿是敵意的威脅態勢下，公司安全防護工作的風險前所未有的高。而且，隨著安全供應商的激增，安全人員很容易迷花了眼睛。不過，安全主管們可以從巴菲特的投資哲學中汲取經驗，制定明智的安全戰略，讓自己的投資獲得最大的安全回報。