可以肯定地说,今年和往年一样,首席信息安全官仍将面临许多挑战,从持续的劳动力短缺到日益复杂的网络攻击,再到民族主义国家的持续威胁。然而,首席信息安全官对如何应对这些挑战也有很多想法。
为此,行业媒体采访了多个行业的首席信息安全官,以下是他们分享和阐述的主要目标和战略议程。
1. 消除盲点
云计算软件开发商Domo公司首席信息安全官兼兼兼IT副总裁Suyesh Karki希望消除技术环境中的盲点,因为不能保护看不见的东西。
Karki解释说:对于我们的安全团队来说,了解云计算应用程序、内部部署应用程序、网络、服务、系统、数据库、账户、第三方提供商等方面非常重要,以帮助加强网络安全防御。对于所有的硬件、软件和供应链资产,我们的安全团队可以采取系统的方法来了解需要保护的内容,实施什么控制措施来保护、防御和处理任何不利事件,以及如何识别和生成能够完全解释当前安全状况的指标。
2. 更好地理解相互依赖的网络
软件开发商Zendesk公司首席信息安全官Maarten Van Horenbeeck在公司的技术环境下,更好地理解相互依赖的网络是2022年的首要目标。
他说:我想更好地了解这个网格,以便采取行动,知道如何更好地保护它。
尽管网络的复杂性多年来一直在增长,Van Horenbeeck说这两年发生了,SolarWinds和Log4j等网络攻击事件,让他更加重视了解构成企业技术生态系统的所有活动部件的重要性。
为此,Van Horenbeeck为了更全面地了解自己公司的技术投资IT环境。尽管他承认不太可能完全理解供应商代码,但他仍然希望更详细地了解第三方和供应商如何与公司连接,以及他们正在访问的数据,以便他的团队设计安全策略来限制他们可能的风险。
3. 对供应商有深入的了解IT环境
科技厂商InfluxData公司首席信息安全官Peter Albert也有类似的想法。他表示希望了解供应链的完整范围。
他补充说:许多人认为供应链可能只是一家与它签订合同的公司,但它远不止于此。
例如,他想知道第三方使用的代码中存在哪些漏洞,供应商使用哪些开源资源可能会增加风险。Albert为了进一步限制风险,我希望这样做SaaS供应商进行更多的监控,以确保其公司的数据在供应商IT环境运行安全。
他解释说:我认为人们对第三方提供商可能监控用户的数据有根本的误解,但我们发现事实并非如此。因此,我们必须承担部分责任,这意味着从这些提供商那里收集对谁访问数据的看法。
Albert表示,InfluxData公司的一名员工建立了一个获取的员工SaaS提供商安全日志的原型,其他员工正在建立模型来检测可能表明安全威胁的异常情况。
4. 把平凡的事情做得最好
咨询机构Booz Allen Hamilton公司首席信息安全官Ashley Devoto希望在寻求加强整体网络弹性的过程中,始终注重基本面。
更具体地说,她想确保有一个强大的应用程序来快速识别和修复漏洞;有效实施良好的补丁流程;良好的员工意识和培训;以及整个IT环境的综合可见性。
成功就是把平凡的事情做得最好,她说,这句格言引起了我的共鸣。
黑客将继续进行网络攻击,所以我们必须不懈努力,她说。通过掌握安全知识,我们将提高速度和敏捷性来应对网络攻击。
此外,Devoto为了衡量她带领的安全团队在处理这些基本问题时的效率和提高,计划制定指标和关键绩效指标。
联合国项目事务署(UNOPS)首席信息安全官和数据隐私官Niel Harper它还阐述了今年的决议,并详细介绍了如何实现这一目标。
他希望将更多的精力和资源集中在隐私和数据上,完善和加强第三方风险管理的控制框架,提高勒索软件的保护,继续向其他商业领袖宣传电子邮件安全的重要性。
5. 进一步左移安全性
为确保她和她的团队正确掌握安全知识,Devoto该计划提前将安全要求嵌入到规划和开发过程中。她说:我优先考虑我们的预防控制和能力套件,因为我们在‘上游’为了防止网络攻击而战斗。
她不是唯一一个想到在2022年进一步左移安全的人。软件开发商Dynatrace公司发布的《2021年全球首席信息安全官》报告指出,89%的受访者表示,微服务、容器和Kubernetes71%的人表示,他们不完全相信代码在上线操作前没有漏洞。此外,85%的受访者表示,他们认为应用程序和DevOps为了有效保护企业,团队必须对漏洞管理承担更多责任。
6. 开始摆脱对密码的依赖
网络安全智囊团CIBR公司首席信息安全官Grant Gibson他希望他的公司今年能进一步远离使用密码进行访问,或者至少远离使用密码作为主要的身份验证形式。
他认为这是提高安全性的关键措施。
他说:“我们处理密码已有40年的时间,但一致认为采用密码也会被黑客入侵。”
他说,这是意料之中的。许多人仍然在多个账户中使用相同的密码。他们会选择简单的密码来确保他们能够记住,当系统需要复杂的密码时,他们会在纸上写密码或存储在电子文件中——尽管经常有警告。
他还指出,最近备受关注的网络攻击涉及密码泄露。
Gibson他说,他正在努力实施更强大的身份和访问管理(IAM)控制,这些控制更容易使用,但对企业更安全。他承认,并没有适合所有企业的通用解决方案。
目前,他正在自己的公司内部实施多因素身份验证,因此密码不是验证用户身份的唯一方法,他正在探索未来如何彻底消除密码。
他说:我们的目标是实现无密码。在短期内,这意味着密码不能成为唯一的身份验证形式。但从长远来看,它的目标是完全没有密码。
7. 提高敏捷性
万通银行企业网络安全主管Ariel Weintraub今年的决议是更灵活。
网络安全计划是最成功的,她说。过去几年的网络攻击表明,基于快速调整优先事项的能力,网络攻击者不断发展战略。
她解释说:我们正在转向利用日常威胁和脆弱性评估能力进行持续评估,以便我们能够识别、衡量和应对新的威胁和风险。这意味着没有必要害怕暂停或终止某些计划,并根据最新的技术和措施转向新的计划。没有必要害怕勒索软件会破坏他们的整个基础设施。我们将在交付新功能时保持灵活性,以免受到影响。这不需要花几年时间来处理新的威胁,当项目不再相关时停止并不是一个失败。
8. 与企业建立更好的合作伙伴关系
加强安全部门与企业的合作Van Horenbeeck今年的另一个决定。他说:我们已经这样做了一段时间了,今年真的成为了我们内部的首要任务。他解释说,加强安全和业务的一致性将有助于团队推动他们的目标。
Van Horenbeeck他说,包括他自己在内的许多安全部门都非常擅长识别和解决企业的顶级风险。然而,这并不影响日常工作习惯和业务流程。这些习惯和业务流程通常会引入较低水平的安全风险,阻碍企业文化建立安全意识的努力。
与企业建立更强大的合作伙伴关系将有助于安全识别风险的工作过程,也将有助于安全部门了解为什么他们的业务同事关注这些过程。这种组合可以通过合作伙伴关系培养更好的关系,它应该有助于安全和业务共同寻找成功的解决方案。
Van Horenbeeck这实际上更关注我们的合作伙伴要去哪里,而不是告诉他们该做什么。
9. 照顾好团队
UST公司首席信息安全官Tony Velleca表示今年将更加关注他们的团队和员工。
Velleca据软件开发商介绍,1Password约84%的安全专业人员表示,该公司于2021年12月进行了访问状态研究,他们感到筋疲力尽。
Velleca据说,随着新冠肺炎疫情引发的不确定性和破坏性,他正在寻找不仅留住人才,还激励人才的方法。
和许多其他公司一样,Velleca该公司的员工大多在现场工作,近两年因疫情转为远程工作。
Velleca该公司计划让员工回到办公室,当然可以选择远程工作,他希望这将有助于重新激发员工的活力。
他还计划专注于创新项目,以提高员工的兴奋性,部署更多的自动化设备,将员工从重复任务转移到更有吸引力的更高级别的任务。
10. 招新人才
MongoDB公司首席信息安全官Lena Smart希望能帮助解决安全人才短缺问题,并决定在2022年招聘安全人才。
Smart我计划继续在指导和支持外部信息安全社区方面发挥积极作用。
她说:“作为首席信息安全官,我经常从同事那里听到招募人才的难度。虽然填补信息安全职位肯定竞争激烈,但我们已经看到,从找到具有正确特征的人员并帮助他们了解技术细节的过程中,我们取得了真正积极的成果。”
11. 去除多余的工具和功能
Oracle公司客户服务副总裁兼首席信息安全官Brennan P.Baybeck计划清理不提供价值的多余工具和投资,并确定未充分利用的功能。
他说:我觉得现在是盘点的好时机,看看我们有什么可用的工具,疫情前我们有什么资源,积累什么或者冗余功能,消除不符合规定的流程和技术策略。
Baybeck他说,他计划不仅在安全操作中使用这种方法,而且还与员工一起使用这种方法。他已经看到员工所需的技能发生了变化。因此,他花时间重新评估职位,以确定哪些专业人士需要什么新技能和角色需要发展。例如,他决定将一些关注合规性的空缺职位转变为专注于提供更多自动化、控制和开发安全工作的项目和开发人员,所有这些都比合规职位更能满足企业当前和未来的安全需求。
12. 为未来做好准备
Tiro Security公司首席信息安全官兼首席技术官Jenai Marinkovic展望未来,她说,2022年的主要职业目标是让安全人员为未来世界做准备。
她认为有三个主要问题需要解决。
首先,她希望安全人员准备工作,参与智能生态系统(如元宇宙)并保护它们。这意味着了解如何在这个新世界中互动、交流和呈现;这也意味着了解技术和使用它的人是如何预测和解决安全问题的。
其次,她希望帮助员工作为团队的一部分,了解以用户为中心的设计。
第三,她希望安全专业人员更加关注业务连续性,以分解业务流程并支持其系统,因为真正擅长这些将是处理网络攻击的关键。
Marinkovic通过这三个广泛的需求领域的培训团队,Tiro Security公司提供虚拟首席信息安全官服务。GRCIE该公司是一家非营利性公司,为美国各地的妇女和退伍军人提供指导和心理支持。
她补充说:我们的目标是让员工为即将到来的未来做准备。