如何洛克希德·马丁公司,思科公司和普华永道网络安全管理

算了装置...这是你自己的人谁是你最大的安全威胁。幸运的是,与培训,他们也可以成为你的第一道防线。

首席信息官 |

思想库

网络安全仍然是企业在所有行业的重中之重。原因很清楚。罪犯和其他各方有机会获得廉价的工具和培训来攻击企业和政府。纽约时报报道了2015年早些时候勒索软件的兴起。这种恶意软件对用户的数据进行加密,并要求付费才能发布数据(否则数据将被销毁)。

许多公司正在部署更多的资源转向黑客的潮流:谷歌拥有一支10名全职黑客努力消除缺陷。鉴于这些威胁,管理人员和技术领导者所要求的最佳实践和技术。在开发人员安全意识,不断增长的安全专业人员和装备CIO能够监控安全仍然是重要的组成部分,以一个成功的安全管理策略。

下一波安全测试:向员工发送钓鱼邮件

您组织的客户和非技术人员的能力和知识已经成为最大的网络安全威胁之一。说服人们并击败安全措施的能力在社会工程的大标题下是众所周知的。社会工程策略,特别是钓鱼邮件,是核心2011年RSA安全id被入侵这动摇了全世界对安全的信心。正如那次事件所显示的那样,即使是备受尊敬的公司和安全技术在面对社会工程威胁时也是脆弱的。领先的公司使用几种方法来降低风险。

“在思科,我们有全面的培训项目,解决信息安全问题,”Patrick Harbauer评论道,他是思科系统新PCI DSS服务实践的技术主管。“年度培训和基于计算机的测试是我们实践的一个关键部分,以装备我们的员工技能,以检测和避免网络钓鱼和类似的信息安全威胁,”Harbauer说。

[相关:微软首席执行官采取合作方式解决网络安全问题]

“最近,我们的组织开始通过发送钓鱼邮件,看员工是否下跌他们检验我们训练的有效性。我实际收到这些测试邮件之一 - 据说关于亚马逊 - 这是难以察觉“!测试安全培训的有效性正变得越来越重要,因为旧向导检测网络钓鱼电子邮件 - 例如没有公司标志或语法较差的 - 是事倍功半。“许多网络钓鱼电子邮件,今天使用的代码,图像等,它们看起来是合法直接从公司的网站解禁等材料,” Harbauer说。

“在洛克希德·马丁公司,我们的安全方法包括监控高风险行为标志。然后由专门的团队研究这些标志。例如,如果一名员工在凌晨3点突然开始登录公司的网络,而之前他们从未这样做过,这将会引起轰动,”洛克希德·马丁公司商业市场副总裁安吉拉·海斯评论道。她说:“当然,那个人可能是在晚上照顾小孩之后才决定查看电子邮件的,所以评估这些信号需要判断力。”

胜出的网络安全人才战略战

有才华的信息安全专家仍是一个成功的网络安全计划的关键。一些就业调查发现,安全技能继续在高需求,以及一些高调安全作业可以命令薪水每年超过$ 200,000。接受调查的企业百分之三十五根据ISACA的不能补开安全工作网络安全的国家:2015年的启​​示调查。

“有对网络安全人才庞大的战争,”安吉拉海泽,副总裁,商业市场在洛克希德·马丁公司的评论。最有名的军事装备和航天器,洛克希德·马丁公司已经开发出用于管理安全威胁和满足军方的安全性要求高的良好声誉。在此基础上的声誉,公司现在提供的安全服务和支持,许多企业在世界500强,包括能源公司,金融公司和公用事业公司。

洛克希德公司在安全方面的成功主要归功于该组织的人才战略。Heise分享说:“当我为洛克希德公司引进一名新的安全分析师时,他们有机会在几个小组轮流工作:洛克希德公司的内部安全部门,服务政府客户和与商业客户合作的小组。”“我们赋予安全人员权力,让他们在使用的工具上有发言权,并帮助他们发展自己的职业生涯,”她继续说。多样性和跨代合作是另一个机会。“我看到很多公司倾向于聘用经验丰富的安全专业人员。我更喜欢多样化的方式,包括将应届毕业生引入公司,他们可以从我们有经验的专业人士那里学习,并与他们分享经验。”

首席信息官对网络安全的看法:IT领导者的最佳实践

当安全事件发生时,CIO和/或CISO被期望领导一个解决方案。虽然对安全事件作出紧急反应的必要性一直存在,但主要组织已采取主动战略。威胁检测和管理第三方是cio和IT经理使用的关键实践。

“我们有几个使用监测战略合作,解决网络安全风险的最佳CIO和高管,”共享卡罗琳霍尔库姆,风险保证数据保护的伙伴和领袖和隐私实践在普华永道(PWC)。“在管理供应商和第三方,最好的办法是要求SOC2报告,其中独立方进行安全,隐私或其他点进行全面评估,”霍尔库姆说。SOC2是一份由美国注册会计师协会定义的内部控制报告,涉及安全性、可用性、处理完整性、机密性和隐私问题。

霍尔科姆表示:“如果不能采用SOC2方式,还有另外两种选择:使用合同中的审计权条款和调查问卷。”审核权条款允许组织的审核员和/或安全专业人员对供应商进行审核。最便宜、最不健壮的选择是向供应商发送一份调查问卷,询问他们的安全实践和技术。与其他方法相比,问卷调查方法往往提供最不详细的信息。

[相关:首席信息安全官了解输送的安全隐患5个惨痛的教训]

作为商业领袖,首席信息官只有有限的时间来管理安全和领导其他工作。考虑到安全方面资源有限的现实,霍尔科姆建议提高安全性并关注非常重要的资产。“客户数据、并购信息、知识产权、财务预发布数据经常成为黑客攻击的目标。对这些信息进行额外的控制和保护是有意义的。

人员和管理仍然是IT安全战略的中心

据IT研究公司Gartner称,全球花费在IT安全服务将超过$ 70十亿美元在2015年那支出的很大一部分已经吸引了众多的服务提供商包括新公司如IBM初创企业的利益。由于采取了安全咨询或顾问服务所需的高度信赖,CIO们在服务选项可供选择。作为洛克希德·马丁公司和思科表示,在整个组织发展的安全技能是有效的安全至关重要。

这个故事,“洛克希德·马丁公司,思科公司和普华永道如何管理网络安全”最初发表首席信息官

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对最重要的话题发表评论。
有关:

Bruce Harpham在网站上撰写技术和项目管理ProjectManagementHacks.com对于不断增长的IT项目经理。他的经验包括在金融服务领域的领先项目和在加拿大的高等教育。

版权所有©2015年Raybet2

IT薪资调查:结果是