[[420639]]

網(wǎng)絡(luò)安全作為媒體關(guān)注的話題頻繁出現(xiàn)，這讓首席信息安全官面臨更大的壓力，因為他們?yōu)槠髽I(yè)管理者提供的信息可能并不那么令人放心。

根據(jù)安全軟件提供商Proofpoint公司發(fā)布的一份名為《2021年CISO報告之聲》的調(diào)查報告，大約64%的首席信息安全官擔(dān)心他們的公司在未來一年中面臨網(wǎng)絡(luò)攻擊的重大風(fēng)險，66%的首席信息安全官認(rèn)為他們所在的公司沒有做好應(yīng)對的準(zhǔn)備。

作為回應(yīng)，一些首席信息安全官正在調(diào)整策略以加強(qiáng)他們的安全態(tài)勢。他們似乎相信自己走在正確的軌道上。Proofpoint公司在報告中指出，65%的首席信息安全官認(rèn)為，到2023年，他們將能夠更好地抵御網(wǎng)絡(luò)攻擊并從中恢復(fù)。

當(dāng)然，每個首席信息安全官都有自己的安全路線圖，但已經(jīng)出現(xiàn)了一些共同元素。根據(jù)首席信息安全官、分析師和安全領(lǐng)導(dǎo)者的說法，當(dāng)今的首席信息安全官優(yōu)先級列表包含以下15個戰(zhàn)略重點(diǎn)：

1.關(guān)注安全基礎(chǔ)

安全基礎(chǔ)仍然是重中之重。數(shù)字咨詢機(jī)構(gòu)Mobiquity公司的工程副總裁兼信息安全官Tyrone Jeffrees說：“這并不是一個有趣的網(wǎng)絡(luò)安全話題，但重要的是我們確保正確處理攔截和處理。”

Jeffress為此表示，首席信息安全官需要專注于完美地執(zhí)行資產(chǎn)管理、修補(bǔ)、漏洞管理和配置，以及提供安全意識教育和培訓(xùn)。

Proofpoint公司調(diào)查的數(shù)據(jù)證實(shí)了這一觀點(diǎn)，并指出加強(qiáng)核心安全控制是首席信息安全官最常提及的優(yōu)先事項之一。

2.識別和降低第三方風(fēng)險

資深網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者、《重大漏洞：共享的網(wǎng)絡(luò)安全課程》一書的合著者Neil Daswani表示，SolarWinds公司的數(shù)據(jù)泄露事件將第三方風(fēng)險提升到首席信息安全官優(yōu)先級列表的前列。

Daswani表示，這起重大網(wǎng)絡(luò)攻擊事件在2020年底首次被發(fā)現(xiàn)，首席信息安全官需要了解其所在公司使用的所有安全技術(shù)，以便他們能夠創(chuàng)建適當(dāng)?shù)牧鞒虂韺彶楣?yīng)商，并制定有關(guān)如何更好地降低風(fēng)險的策略。

3.確保企業(yè)代碼內(nèi)的安全性

信息安全服務(wù)商Crucyble公司的共同創(chuàng)始人Brian Johnson表示，首席信息安全官越來越專注于發(fā)現(xiàn)企業(yè)使用的代碼中的漏洞。

他說，“我們?nèi)缃窨吹搅撕芏啻a問題，我們使用的第三方代碼有可能是惡意的開源代碼。”他指出，他和其他首席信息安全官正在投入資源來檢查正在部署的新代碼，并重新訪問已經(jīng)部署的代碼，以根除任何漏洞或錯誤。

4.防御勒索軟件攻擊

勒索軟件攻擊在2021年達(dá)到新水平，對Colonial輸油管道和跨國肉類包裝商JBS公司的網(wǎng)絡(luò)攻擊關(guān)閉了關(guān)鍵基礎(chǔ)設(shè)施，影響了美國部分地區(qū)民眾的日常生活。很多首席信息安全官安全負(fù)責(zé)人表示，此類消息使他們處于高度戒備狀態(tài)。

Vonage公司首席信息兼首席信息安全官Sanjay Macwan說，“這意味著通過聘請第三方安全和合規(guī)性評估人員以及行業(yè)領(lǐng)先的安全研究人員/測試人員采用內(nèi)部測試和外部測試方法不斷測試安全態(tài)勢。另一個關(guān)鍵方面是豐富的數(shù)據(jù)驅(qū)動和現(xiàn)代安全監(jiān)控，以識別和系統(tǒng)地應(yīng)對威脅。通過正在進(jìn)行的桌面演習(xí)測試各種威脅場景，測試企業(yè)的安全準(zhǔn)備情況也是至關(guān)重要的。”

5.獲得企業(yè)董事會的支持

斯坦福大學(xué)高級安全研究中心聯(lián)合主任Daswani說，“首席信息安全官的另一個優(yōu)先事項是確保企業(yè)高管了解威脅形勢中正在發(fā)生的事情，以及需要什么樣的額外投資來應(yīng)對這些威脅。”

他表示，這讓更多的首席信息安全官直接向企業(yè)董事會陳述或報告?？萍佳芯亢妥稍儥C(jī)構(gòu)Gartner公司估計，到2025年，40%的企業(yè)將成立專門的網(wǎng)絡(luò)安全委員會，而目前只有10%。該公司的調(diào)查還表明，企業(yè)董事會現(xiàn)在將網(wǎng)絡(luò)安全相關(guān)風(fēng)險視為企業(yè)的第二大風(fēng)險，僅次于監(jiān)管合規(guī)風(fēng)險。

6.支持?jǐn)?shù)字化轉(zhuǎn)型和戰(zhàn)略目標(biāo)

隨著企業(yè)繼續(xù)加速數(shù)字化轉(zhuǎn)型，首席信息安全官有望跟上其發(fā)展步伐。因此，首席信息安全官將安全視為一種業(yè)務(wù)推動因素。

數(shù)字服務(wù)和信息管理提供商Ricoh公司企業(yè)和信息安全副總裁兼首席安全官David Levine說，“從企業(yè)董事會的角度來看，優(yōu)先事項是支持業(yè)務(wù)和業(yè)務(wù)目標(biāo)，并且這樣做使我們能夠安全地開展業(yè)務(wù)，以保護(hù)我們和客戶的業(yè)務(wù)安全，同時可以提供良好的客戶體驗。這是總體準(zhǔn)則。”

專家表示，首席信息安全官支持該任務(wù)的方式根據(jù)企業(yè)的情況而有所不同，它正成為安全團(tuán)隊更普遍的優(yōu)先事項。

7.提高靈活性

Kriss Warner是Info-Tech研究集團(tuán)網(wǎng)絡(luò)安全咨詢的全球?qū)嵺`負(fù)責(zé)人，也是ISACA認(rèn)證的首席信息安全官，他認(rèn)為大多數(shù)首席信息安全官的相關(guān)優(yōu)先事項是快速適應(yīng)，同時保持彈性。

Warner說，首席信息安全官需要帶領(lǐng)團(tuán)隊以更敏捷的模式工作，以跟上業(yè)務(wù)發(fā)展的步伐。他補(bǔ)充說，“自然災(zāi)害、網(wǎng)絡(luò)攻擊以及企業(yè)董事會的要求促使首席信息安全官更加靈活。”

8.提升團(tuán)隊技能

美國瑪麗維爾大學(xué)網(wǎng)絡(luò)安全助理教授BrianM.Gant指出，如今對安全人才的競爭非常激烈，冠狀病毒疫情加劇了市場競爭。根據(jù)Gartner公司的調(diào)查，對信息安全職位的需求激增，美國市場增長了65%。因此，首席信息安全官應(yīng)該優(yōu)先考慮保留現(xiàn)有員工，并培訓(xùn)他們掌握保護(hù)運(yùn)營環(huán)境所需的特定技能。他特別強(qiáng)調(diào)員工提高云安全和威脅情報以及訪問和身份管理方面的技能。

9.解決物聯(lián)網(wǎng)安全問題

市場研究機(jī)構(gòu)IoT Analytics公司在其發(fā)布的2020年物聯(lián)網(wǎng)狀況報告中估計，2020年有120億臺設(shè)備連接物聯(lián)網(wǎng)。該公司預(yù)測，到2025年，全球物聯(lián)網(wǎng)連接數(shù)量將超過300億臺。

Gant說，“一切都在互聯(lián)，這是首席信息安全官必須從戰(zhàn)略上考慮的事情。”

他表示，首席信息安全官更加關(guān)注物聯(lián)網(wǎng)設(shè)備及其產(chǎn)生的數(shù)據(jù)的安全性。他們需要制定策略以準(zhǔn)確了解連接到網(wǎng)絡(luò)的內(nèi)容和設(shè)備數(shù)量，還需要重新審視他們在物聯(lián)網(wǎng)中采用的身份和訪問管理計劃。

10.設(shè)計上的安全

Vonage公司首席信息官兼首席信息安全官M(fèi)acwan表示，安全性是首席信息安全官的優(yōu)先事項。

他說，“簡而言之，我們所做的一切就是為客戶提供的產(chǎn)品和服務(wù)，或者為我們的員工提供體驗的工具和技術(shù)，這些都必須從一開始就嵌入適當(dāng)?shù)陌踩?、隱私、信任和合規(guī)性。”

很多首席信息安全官也表示將設(shè)計上的安全列為優(yōu)先事項。技術(shù)提供商Copado公司的安全和IT負(fù)責(zé)人Kyle Tobener指出，將應(yīng)用程序部署到生產(chǎn)環(huán)境之前，在開發(fā)過程中發(fā)現(xiàn)安全問題時，修復(fù)這些問題的成本會呈指數(shù)級下降，因此，安全反饋可以使開發(fā)人員能夠盡早、安全地做出與安全相關(guān)的決策，這是首席信息安全官路線圖的關(guān)鍵部分。”

11.提高安全自動化

為了幫助安全團(tuán)隊更好地應(yīng)對更廣泛的IT環(huán)境和不斷增加的網(wǎng)絡(luò)攻擊活動，許多首席信息安全官加快了自動化技術(shù)的部署。

事實(shí)上，Proofpoint公司調(diào)查將“提高安全自動化”列為其響應(yīng)首席信息安全官確定的優(yōu)先事項列表中的第4位。

Jeffress表示，首席信息安全官正在使用自動化來更好地識別威脅和加快響應(yīng)速度，并在新代碼的開發(fā)和部署到環(huán)境中的整個過程中執(zhí)行安全標(biāo)準(zhǔn)。他指出，自動化是創(chuàng)建安全代碼、通過設(shè)計實(shí)現(xiàn)安全性以及轉(zhuǎn)向日益流行的零信任安全模型的關(guān)鍵部分。

12.加強(qiáng)遠(yuǎn)程工作安全

Proofpoint公司的調(diào)查表明，將近三分之二的首席信息安全官認(rèn)為遠(yuǎn)程工作使他們的公司更容易受到網(wǎng)絡(luò)攻擊，其中58%的受訪者指出，自從實(shí)現(xiàn)了廣泛的遠(yuǎn)程工作以來，網(wǎng)絡(luò)攻擊的針對性更強(qiáng)。

Levine說，“人們可能并不是故意將自己和企業(yè)置于危險之中，而是因為工作環(huán)境不同。”

他表示，這將促使首席信息安全官制定零信任和身份優(yōu)先的安全策略，以創(chuàng)建安全的隨時隨地工作的商業(yè)模式。

13.保護(hù)云安全

將近40%的企業(yè)在451Research公司開展的調(diào)查中表示在疫情持續(xù)蔓延期間增加了公有云的使用，其中絕大多數(shù)企業(yè)認(rèn)為，向公有云的遷移將是永久性的。

Levine所在的公司也順應(yīng)這一趨勢，這讓他重新思考安全戰(zhàn)略。Levine正在部署新的工具、流程和治理模型來支持基礎(chǔ)設(shè)施，并實(shí)施一項全面的云安全治理計劃，以使其帶領(lǐng)的團(tuán)隊了解企業(yè)采用的云計算環(huán)境，并強(qiáng)制遵守安全法規(guī)和標(biāo)準(zhǔn)。

14.跟上隱私法規(guī)不斷發(fā)展的步伐

美國弗吉尼亞州于2021年初通過了《消費(fèi)者數(shù)據(jù)保護(hù)法》(CDPA)，并頒布了類似于《加利福尼亞消費(fèi)者隱私法》的法規(guī)?？屏_拉多州也在今年7月頒布了科羅拉多州隱私法(CPA)。

此類行為造成了企業(yè)必須跟蹤和遵循越來越多的隱私法規(guī)。

Warner指出，這讓首席信息安全官與企業(yè)其他高管合作部署技術(shù)和流程，以有效和高效地應(yīng)對當(dāng)前的隱私和安全法規(guī)。

他說，“首席信息安全官需要將嚴(yán)格的隱私和安全法整合到他們的業(yè)務(wù)計劃中來做到這一點(diǎn)。”

15.制定連續(xù)性計劃以應(yīng)對全球性事件

Levine正在解決疫情所揭示的另一個安全問題：業(yè)務(wù)連續(xù)性計劃中的缺陷。他表示，首席信息安全官正在重新審視他們的連續(xù)性和彈性戰(zhàn)略，這些戰(zhàn)略在很大程度上沒有考慮到全球性影響事件。

他說，“我們制定了計劃，但并沒有考慮到由于發(fā)生疫情而導(dǎo)致大部分員工在一夜之間轉(zhuǎn)向遠(yuǎn)程工作。”他補(bǔ)充說，原有計劃假設(shè)員工在一個受影響地區(qū)轉(zhuǎn)移到未受影響的另一個地區(qū)工作，而現(xiàn)在必須重新思考業(yè)務(wù)連續(xù)性。