从公共服务到高管层:职业历程
AJ Debole是Oracle的现场CISO,但她的职业生涯起点远离企业董事会。从法律和政府工作开始,她后来转入医疗保健和网络防御领域,在勒索软件危机中领导团队。
CISO专业技能:技术能力与商业头脑的权衡
展望未来,AJ预计CISO角色将变得“更加商业化”,出现更多“MBA类型”。她理解这一发展轨迹背后的逻辑:转化业务目标并确保安全计划与之保持一致正变得越来越重要。
然而,她担心这种关注会使人们更关心业务和合规性,而不是实质性的安全——组织将为此付出代价。
“问题是,实质性安全需要更多技术经验、更多细微差别,甚至更重要的是,有人可能会说,需要对技术有足够的好奇心,才能真正了解并关心它,”她说。
定制沟通策略:获得领导层支持
在领导沟通方面,AJ认为定制化方法永远是最有效的。每个董事会和每位董事会成员都不同,CISO必须相应调整风格。
“我注意到的一点是,关于与董事会接触的对话通常被框定得好像所有董事会都一样,好像一种方法在任何地方都有效,”她说。
资金说话:安全计划与业务目标对齐
对齐安全计划是与领导沟通最重要的方面之一。对AJ来说,一切都始于激励。
“归根结底,一切都归结为金钱。人们根据某些事情获得奖金。组织激励某些行为。问题是许多组织的奖金结构与它们试图实现的目标不一致,而安全无法解决这个问题,”她说。
军事精度:为数据泄露准备团队
即使世界上最好的CISO最终也会面临数据泄露。他们的准备程度是区分优劣的关键。
AJ回忆起一次特别“棘手”的勒索软件攻击:“那是医疗保健领域,是COVID时期,是我的第一个CISO角色。你可以想象在转向远程工作的同时,还要启动支持数百万人的应用程序的压力。”
幸运的是,AJ依靠她的军事经验做好了准备。
AI影响
AJ对企业和组织如何深思熟虑地利用AI工具和能力感到兴奋,但对基于各种工具实施、记录和监控方式的安全风险表示担忧。
“我认为很多企业只是想使用AI,因为他们想说他们正在使用AI,这会让他们的股东高兴,但他们并不真正关心他们在做什么或他们如何做。我认为这非常危险,”她说。
AI蔓延:为什么API安全如此重要
AJ对API安全的巨大重要性有着清晰的认识——特别是与AI实施相关的方面。
“API和AI代理是让企业沟通、自动化并标准化流程以更快更高效工作的连接组织。问题是它们也太容易启动,有时数量很大,而且通常由其他程序自动启动,”她说。
API安全:最佳实践
那么,AJ建议组织如何保护他们的API?对她来说,两件事最重要:
- 可见性:你必须知道你拥有什么才能防御它。
- API生命周期:定义API创建的时间和原因,它们如何构建,何时不再需要它们,以及如何确保它们被适当退役。
AJ警告说,没有这种纪律,旧连接可能会持续存在足够长的时间,让攻击者发现它们。