信息化觀察網(wǎng)

在新的一年里，大多數(shù)人都有一些新的想法和決議。基于ESG公司的研究調(diào)查，以及與網(wǎng)絡(luò)安全專業(yè)人士進(jìn)行的討論，在此歸納了企業(yè)首席信息安全官在新的一年中的一些決議:

1. 努力使網(wǎng)絡(luò)安全成為組織文化的一部分

ESG/ISSA公司進(jìn)行的調(diào)查研究表明，24%的組織聲稱企業(yè)管理人員仍然不理解或不支持正確的網(wǎng)絡(luò)安全水平。 2018年，首席信息安全官必須改變這種對(duì)網(wǎng)絡(luò)安全的無(wú)知和冷漠。那么該如何做?

這種努力需要獲得企業(yè)的首席執(zhí)行官的支持。首席信息安全官需要與企業(yè)管理人員建立經(jīng)常性的溝通，努力以他們能夠理解和采取行動(dòng)的方式更好地量化風(fēng)險(xiǎn)。在軟件開(kāi)發(fā)人員開(kāi)始編寫(xiě)代碼之前，首席信息安全官參與業(yè)務(wù)流程計(jì)劃。并推動(dòng)人力資源更多的實(shí)踐培訓(xùn)，定期與員工進(jìn)行溝通。

企業(yè)的首席信息安全官在2018年必須盡力推進(jìn)網(wǎng)絡(luò)安全工作，那些有所作為的首席信息安全能夠?yàn)檎麄€(gè)組織的風(fēng)險(xiǎn)緩解帶來(lái)個(gè)人影響。

2. 在網(wǎng)絡(luò)安全人員身上投入更多的時(shí)間和資源

根據(jù)ESG/ISSA的名為"網(wǎng)絡(luò)安全專業(yè)人員的生活和時(shí)代"的研究報(bào)告，可以得知目前企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)不堪重負(fù)，人手不足，并且沒(méi)有接受適當(dāng)水平的培訓(xùn)來(lái)提高他們的技能。此外，49%的人每星期至少分配一份新任務(wù)，如果他們沒(méi)有獲得公平對(duì)待的話，他們就會(huì)產(chǎn)生辭職的想法。

為了解決這些問(wèn)題，首席信息安全官必須盡一切所能使網(wǎng)絡(luò)安全人員工作更加高效，充滿動(dòng)力。這意味著需要更多的培訓(xùn)、指導(dǎo)項(xiàng)目和職業(yè)發(fā)展。為了招募新的人才，首席信息安全官還應(yīng)該努力使自己的組織成為卓越的網(wǎng)絡(luò)安全中心。其措施包括建立網(wǎng)絡(luò)安全文化，與專業(yè)組織合作，讓組織更多參與網(wǎng)絡(luò)安全研究和探討，并確保員工隨時(shí)受到激勵(lì)。

3.尋找機(jī)會(huì)采取先進(jìn)的威脅預(yù)防措施

提高生產(chǎn)力的一種方法是通過(guò)先進(jìn)的威脅防護(hù)新技術(shù)(如下一代端點(diǎn)安全軟件，微分段，安全DNS服務(wù)，威脅情報(bào)網(wǎng)關(guān)等)盡可能減少攻擊面。采用先進(jìn)的威脅預(yù)防策略和措施可以降低安全攻擊的數(shù)量，使信息安全人員能夠?qū)⑵涔ぷ髦攸c(diǎn)放在高優(yōu)先級(jí)的任務(wù)上，并具有更多的時(shí)間進(jìn)行戰(zhàn)略規(guī)劃和技能開(kāi)發(fā)。

4.更多地關(guān)注安全技術(shù)的發(fā)展和情報(bào)

首席信息安全官應(yīng)重點(diǎn)關(guān)注2018年安全技術(shù)的合理化、整合和集成的發(fā)展，其目標(biāo)是建立一個(gè)安全操作和分析平臺(tái)架構(gòu)(SOAPA)，以收集、規(guī)范化、處理、分析和處理日益增多的安全情報(bào)和信息。

同時(shí)，組織應(yīng)該研究、測(cè)試、試用和部署提供人工智能的選擇性安全工具。ESG公司的研究表明，首席信息安全官可以通過(guò)將機(jī)器學(xué)習(xí)算法應(yīng)用于現(xiàn)有安全工具(如端點(diǎn)安全軟件，網(wǎng)絡(luò)安全分析，威脅情報(bào)平臺(tái)，以及數(shù)據(jù)泄密防護(hù))，從而獲得最大的回報(bào)。這可以幫助提高已安裝技術(shù)的安全性，而無(wú)需添加復(fù)雜的新項(xiàng)目。

5.致力于自動(dòng)化和編排人工流程

在網(wǎng)絡(luò)安全中，任何可以實(shí)現(xiàn)自動(dòng)化的措施都應(yīng)該實(shí)施采用。這包括收集數(shù)據(jù)、分析可疑文件，以及應(yīng)用簡(jiǎn)單的補(bǔ)救規(guī)則來(lái)阻止惡意活動(dòng)。這里的警告最好引用比爾·蓋茨的一句名言:"任何業(yè)務(wù)使用技術(shù)的第一條規(guī)則是自動(dòng)化應(yīng)用于有效的操作提高效率。第二條是自動(dòng)化應(yīng)用于低效率的操作提高效率。"

換句話說(shuō)，首席信息官們應(yīng)該評(píng)估流程，爭(zhēng)取改進(jìn)流程，否則他們最終會(huì)自動(dòng)化/編排一個(gè)被破壞的流程，否定其潛在的好處。

最后，首席信息安全官應(yīng)該可以通過(guò)云計(jì)算方案(而不是內(nèi)部部署技術(shù))簡(jiǎn)化安全領(lǐng)域的工作或?qū)⑷蝿?wù)完全外包給托管安全服務(wù)提供商(MSSP)或SaaS安全提供商，從而采用組合管理方法來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全。