首席执行官把所有的信任都寄托在首席安全官身上,以确保公司不上头版头条,避免陷入危险。但随着网络攻击的数量激增,这种信任已经慢慢被侵蚀,或者至少是越来越多地受到质疑。
首席执行官不想被抓住,所以他们正在询问有点的问题,以确保他们知道正在采取哪些安全预防措施。这是一个CEO或董事会成员和CISO之间的假设问答。Lucas Moody,Palo Alto Networks的副总裁兼Ciso,勤奋技术福音学队的Dottie Schindlinger,在勤奋,提供了这些互动的洞察力。
首席执行官:为什么我们得到了更多钓鱼式攻击?我们该如何应对这些网络钓鱼攻击?
CISO:为了战斗这一威胁,预防是我们最好的防守。预防始于技术,并应纳入识别企业凭证的重播进入野外的手段。支持这一能力,我们还通过综合网络钓鱼模拟和教育来解决人员和流程,以准备员工是积极保护本组织所必需的第一道防线。
首席执行官:我们应该担心吗?勒索制造器攻击?我得到的印象是,我们的行业没有受到影响——至少从我在新闻中看到的情况来看是这样。
CISO:鉴于网络犯罪分子在勒索软件方面取得的巨大成功,我们应该可以预见,今年从医疗保健到关键基础设施等各个行业都会出现更多的攻击,而且这些攻击很可能会变得更加复杂。我们有一个全面的备份策略,可以应对这些攻击,这些攻击通常出现在业务上下文中,并且对接收者高度个性化。
首席执行官:当连接到我们的企业网络时,物联网设备的安全性如何?我们对此的策略是什么?
CISO:全球有超过60亿台联网设备在使用,预计到2020年这一数字将达到近210亿台。随着这些消费者物联网设备进入办公室和公司网络,我们需要认真认真地主动解决这一重大漏洞,然后我们才会向一些真正的威胁开放自己。如你所知,在任何网络安全计划中,人为因素总是最薄弱的环节,所以我们需要开始设定参数,确定哪些设备可以连接到我们的公司网络,以及通过这些设备访问的数据。我们正在利用安全技术,不仅是应用程序和产品意识,而且可以支持适当地控制这些设备,使它们以预期的方式工作。
首席执行官:在SaaS应用程序中偶然过度分享公司机密文件正迅速成为一个问题。我们怎样做才能使人们明白这其中的危险呢?
CISO:团队的工作效率依赖于使用Box、Dropbox和谷歌Drive等SaaS应用程序,随着这些服务的广泛采用,我们已经制定了策略来最小化数据丢失风险。通过设计,构建这些应用程序是为了简化信息共享,这意味着信息安全组织必须具备良好的设备来监视和防止信息泄露给公司。将劳动力教育与预防性和检测控制结合起来,以识别风险数据,限制共享并支持对暴露的机密数据的监控,是重要的步骤。使用现实生活中的例子来解释在SaaS应用中过度共享文件的后果是非常有效的,有助于缓解这个问题,并保护我们自己,避免提高业务成本或引入可预防的品牌损害。
首席执行官:让我们来谈谈内部风险.这东西很容易让人做噩梦。我们还能准备得太充分吗?
CISO:我们有一个强大和成熟的风险管理程序,以识别风险可以对业务和品牌产生最大影响的地方。我们有正确的策略来详细描述预期的行为,并将其与健壮的基于角色的访问控制结合起来,利用适合角色的数据来划分用户群体。同样重要的是,在强大的用户和角色背景下,采用正确的技术来检测机密数据访问中的异常情况。最后,当事件真的发生时,我们有正确的团队,配备正确的剧本,准备立即采取破坏性的行动,将产生巨大的差异,以减轻影响。
首席执行官:这些天我们听到的都是云,云,云。令人兴奋的消息,但我们如何准备这个转变?
CISO:我们已经为IT领域的这种转型做好了准备,为此我们制定了采用云计算的安全策略。虽然这不像开发政策和标准并将其推广到企业那么简单,但我们提出了一个多方面的方法。首先,我们持续推动计算、存储、分析、消息传递等领域众多独特服务的相关性不断更新。其次,在处理弹性、可编程的云服务时,解决安全标准差距的唯一方法是通过自动化。第三,我们已经确定了在云中实现高保真威胁预防的机制。
首席执行官:我们如何防止身份和凭证被盗?我们一定能做点什么!
CISO:事实是,并不是所有的组织都有强大的身份验证和验证实践,人们经常在多个互联网属性中重用他们的用户名和密码。这为对手提供了分发凭证收集活动的机会,这样他们就可以积累大量的用户名和密码组合,或用于帐户设置或验证的其他信息。一旦被盗,他们经常在地下论坛上出售这些信息,以威胁那些想要利用被盗数据来推进自己努力的行动者。我们已经通过组织一个强大的程序和功能的生态系统来解决这个问题,包括实施多因素身份验证(MFA)用于暴露的应用程序和移动设备,以及利用技术来了解企业凭证何时处于风险之中,例如扰乱伪造网站上的凭证重放。
首席执行官:网络安全是一个复杂的问题,需要有创造性的思维来推动创新,而有限的人才库又加剧了这个问题。作为一家公司,我们要做什么来确保我们建立一个强大的员工网络安全渠道?
CISO:依靠“在那里,完成了”在已经杠杆杠杆的人才库中不断竞争的心态是疏忽的。寻求不同的观点和经验 - 并允许思考多样性蓬勃发展 - 为伟大的思想家聚集在一起创造一个惊人的环境。我们允许思想多样化成为文化的一部分。为了加速我们的网络安全计划,我们已经扩展了可寻址的人才库,包括其他经验,优先考虑那些在解决问题,创造力和影响和理解人类元素的问题的能力。
首席执行官:如今,我们的员工遍布全球。我知道这让安全组织的工作变得更加困难。我们如何管理这种复杂性?
CISO:最有效的策略是培养所有员工都会保持警惕,并成为一个非常强大的第一线预防。我们正在优先分享整个组织的最佳实践和智能,以使每个人都通知并准备。我们正在关注当地的海关和流程,并与当地团队密切合作,努力提出适用于该特定地点或情况的最佳解决方案。培训解决方案需要本地化以确保有效性,并且我们需要继续招募思想多样性,以使最佳思想汇集在一起,以真正解决越来越复杂和动态的威胁景观。
首席执行官:我们总是听到更大的威胁和更紧迫的事情。我们如何为我们的组织和我们的客户获得正确的安全?
CISO:关键利益相关者之间的积极参与之前发生事件将确保本组织能够快速有效地响应现代网络威胁。到底,我们的意思是当我们说获得安全性非常重要的是,我们必须通过举例来领导。我们不能做同样的老东西。如果我们不这样做这些事情,我们无法告诉客户,他们需要到达“下一步范式转移”。我们必须先思考预防,减少我们自己环境中的攻击面,增强强烈的检测和破坏能力,我们必须继续创新自动化安全进入业务。
首席执行官:我们需要多少网络风险保险保险,以确保我们不会被黑客攻击?
CISO:我们收到的指导意见是,我们应该将网络风险保险包括在我们的首席运营官政策中,以帮助保护我们在网络安全方面的个人责任。不幸的是,网络风险保险只在你被黑客入侵后才重要,而且它不能免除董事遵守法律的责任。例如,纽约州金融服务部(从2017年3月1日开始)现在要求所有在纽约州开展业务的金融服务公司,其高级官员或董事必须证明他们不仅了解公司的网络安全做法,但董事们有责任确保这些做法得到执行和有效。
我的工作是确保你们和董事会定期了解网络安全计划的实施情况以及这些计划的有效性。一旦检测到任何成功的尝试,我将确保您知道它们,并提供详细的描述,说明正在采取什么措施来缓解和补救破坏或泄漏。我还与保险公司合作,以确保保险范围的任何要求都得到满足,例如加强具体的沟通实践、教育计划和安全测试。
首席执行官:你在做什么来确保我们没有任何数据泄露?
CISO:数据泄漏与黑客攻击和数据泄露一样,甚至更严重。我将定期向董事会提供公司网络安全计划和危机沟通计划的全面最新情况。与此同时,我们的部分努力集中在为董事和高管制定一套沟通政策,该政策应由全体董事会投票生效,并作为新董事培训和培训的一部分。更好的是,我还希望领导董事会——至少每年一次——通过数据泄露的桌面演练,这将有助于董事会对危机沟通计划的运作方式以及他们自己遵守安全政策的能力有一个正面的看法。
这篇题为“首席信息官如何回答ceo提出的难题”的文章最初发表于CSO .