CISO必读:五大基础安全项目优先指南

本文深入探讨了首席信息安全官应优先实施的五大基础安全项目,包括资产管理、事件响应、漏洞管理等关键技术领域,为企业构建稳固的网络安全防线提供专业指导。

每位CISO应优先考虑的五大基础项目

对齐IT和安全团队与业务需求是一个经常讨论的话题,尽管安全专业人士可能声称他们与业务保持一致,但许多人无法清晰说明业务如何盈利。

Task Force 7 Radio主持人和Task Force 7 Technologies总裁兼首席执行官George Rettas表示,这还不够——他们还应该了解支持技术确保业务盈利的安全策略是什么。了解认同和对齐的含义以及安全项目的基础要素是Rettas与其嘉宾、零售和医疗保健公司Visionworks副总裁兼CISO Sean Walls周一晚上讨论的话题之一。

Walls表示,安全随着时间的推移已经从"服务器机房成熟到董事会会议室。我们看到它不仅仅是IT的延伸……它不仅仅是技术。它是一个 overarching 的学科。"

他说,见证这个功能组从不存在的25年前发展到任何组织业务战略的组成部分是一种"特权"。

无论是在咨询还是在Visionworks的工作中,Walls表示他做的第一件事是"会见所有重要的影响者、决策者,一直到董事会,了解业务的本质、如何盈利、当年的计划以及未来两到五年的计划。"

这使他能够实施一个"不碍事,而是赋能、增强和使能业务"的安全策略,Walls说。

例如,你可能在一家首要任务是打入加利福尼亚某些市场的公司工作,该州最近实施了CCPA,Walls说。“拥有一个灵活、灵活、成熟、能够迅速提升以满足这些合规要求的合规项目将有助于加速上市,帮助组织在特定领域击败竞争对手,节省资金,并帮助推动收入。”

安全团队可以而且应该被视为创造价值,而不仅仅是保存价值的团队,Walls说。

“我们可以通过……通过高效、灵活的合规机制和项目加速上市来创造价值”,通过保护它们,他说。产品开发生命周期中的目标是"确保安全融入其中。因此,从长远来看,你可以节省资金,并确保在上市时不会因为缺乏安全前瞻性而处理诉讼或问题。"

安全技能的重要性——技术和软技能

在回答Rettas关于信息安全技能是否可以从一个垂直行业转移到另一个的问题时,Walls表示,安全原则、标准和最佳实践都是可转移的。

尽管金融服务和医疗保健都受到严格监管且这些法规不同,但"那些安全最佳实践可能保持不变",只是有些细微差别,Walls说。

然后谈话转向软技能在让人们认同安全相关问题的重要性。Walls表示,公司的文化和对安全的态度将决定安全团队能取得多少成就。

他指出,如果你在高度监管的行业工作,基础已经奠定,因此业务已经理解安全的价值。

建立有效的信息安全项目需要软技能,Walls说。“你与业务和组织内其他功能组建立的人际关系、信任和信誉至关重要,因为在组织内获得认同以影响变革是巨大的。”

实施的五大安全基础项目

Walls表示,公司在开始构建基础安全项目之前,必须识别和清点他们拥有的东西,然后进行差距分析。“但你通过可以识别和响应威胁、确保业务连续性的项目奠定基础。“他列举了五个公司应强烈考虑的项目,但补充说你可以"永远"发展安全项目。“这个过程永远不会结束。”

第一个优先考虑的是资产管理。你可能会说,“嗯,那没有保护任何东西”,但它识别了你需要保护的东西,Walls说。“如果你不知道环境中有什么——从硬件、软件角度允许什么,你的架构是什么样子,数据如何在组织中流动——那么你将不知道如何以适当的方式应用控制来保护业务。”

第二个是事件响应。“作为信息安全官,我们的首要责任是确保业务的弹性,能够以允许业务连续且影响最小的方式响应威胁和/或业务影响事件”,Walls说。

公司需要问,如果他们受到勒索软件或某种恶意软件攻击,他们能否恢复并恢复运营?“归根结底,这是你的工作:确保业务继续,任何由网络威胁导致的负面影响都尽可能最小化。”

公司还必须有一个灾难恢复计划——从技术角度恢复业务运营的能力。他们还需要有一个身份和访问管理(IAM)计划,结合特权访问管理,他说。

漏洞管理是公司需要的另一个基础,Walls说。这意味着确保你识别组织内的弱点,并有一个项目或流程来缓解它。“很多时候,这与补丁管理齐头并进,因为85%、89%的漏洞通常与补丁相关。”

这意味着确保你在系统级别一直到应用层扫描漏洞,识别漏洞、缺失补丁、配置错误,并有一个修复和解决这些问题的计划。

Walls还强调,公司需要培训员工威胁是什么样子,如何响应,以及如何通知组织恶意活动。确保"你培训你的员工,他们很多时候被认为是我们最大的风险”,因为他们被委托管理公司最大的资产:他们的数据,他说。

新CISO的攻击计划

Rettas指出,有时新CISO进入一个已经建立的安全组织。他说他发现"很多人不想跟随新CISO。也许这就是为什么许多CISO带自己的人来让自己更轻松。“他问Walls是否也看到这一点。

Walls回答说他确实看到了。解决方法是"与组织内的决策者、影响者发展关系,建立那种信誉、那种人际关系”,他说。“因为为了在组织内影响变革,你需要在各种功能组、部门和业务组内有盟友、倡导者和网络安全的拥护者,[否则]你永远无法改变文化。你永远无法改变人们。”

他补充说,文化不会为安全而改变——CISO需要将安全与文化对齐。“你必须实施一个润滑齿轮的项目,确保它适应文化和组织完成工作的方式。”

‘Task Force 7 Radio’回顾是Cyber Security Hub的每周专题。

要收听此集和过去剧集,请点击此处。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次