从公共服务到企业高管:职业生涯回顾
AJ Debole是Oracle的现场CISO,但她的职业生涯起点远离企业董事会。从法律和政府工作开始,她后来转入医疗保健和网络防御领域,带领团队应对勒索软件危机。
职业生涯早期,在进入网络安全领域之前,AJ深入研究了区块链技术,发现了以太坊,并被可编程货币和智能合约的概念所吸引。
CISO专业能力:技术vs商业敏锐度的权衡
展望未来,AJ预计CISO角色将变得"更加商业化",出现更多"MBA类型"。她理解这一发展轨迹背后的逻辑:转化业务目标并确保安全计划与之保持一致变得越来越重要。
然而,她担心这种关注会使人们更关心业务和合规性,而不是实质性的安全 - 组织将为此付出代价。
“实质性的安全需要更多的技术经验、更细致的理解,更重要的是,可以说需要对技术有足够的好奇心去真正了解它并关心它,“她说。
定制沟通策略:获得领导层支持
在领导沟通方面,AJ认为定制化的方法总是最有效的。每个董事会和每位董事会成员都不同,CISO必须相应调整自己的风格。
“理解这些视角有助于定制信息传递并获得支持。如果你能与董事会成员建立联系,“AJ认为,“你就能有效地争取你所需要的,无论是资源还是特定类型的项目。”
资金说话:安全计划与业务目标对齐
对齐安全计划是与领导沟通最重要的方面之一。对AJ来说,一切都始于激励机制。
“归根结底,一切都与金钱有关。人们根据某些事情获得奖金。组织激励某些行为。问题是许多组织的奖金结构与它们试图实现的目标不一致,而安全无法解决这个问题,“她说。
军事级精确:为数据泄露准备团队
即使世界上最好的CISO最终也会面临数据泄露。他们的准备程度决定了成败。
AJ回忆了一个特别"棘手"的勒索软件攻击:“那是医疗保健领域,正值COVID时期,是我的第一个CISO角色。你可以想象在转向远程工作的同时,还要启动支持数百万人的应用程序的压力。”
幸运的是,AJ依靠她的军事经验进行了准备。“我们会与蓝队和红队进行大型演习。最终,每个人都会聚在一起 - 防御者解释他们在寻找什么,攻击者解释他们在做什么。看到双方的观点帮助我们拼凑出作为防御者什么有效,什么无效,以及我们如何更熟练地识别和中断攻击。”
AI影响
AJ对AI工具和能力能被企业深思熟虑地利用感到兴奋,但对基于各种工具实施、记录和监控方式的安全风险表示担忧。
“我认为很多企业只是想使用AI,因为他们想说自己在使用AI,这会让股东高兴,但他们并不真正关心他们在做什么或如何做。我认为这非常危险,“她说。
AI蔓延:为什么API安全如此重要
AJ对API安全的重要性有着清晰的认识 - 特别是在与AI实施相关时。
“API和AI代理是让业务沟通、自动化并标准化流程以更快更高效工作的连接组织。问题是它们太容易启动,有时数量很大,而且经常被其他程序自动启动,“她说。
AJ认为这种蔓延可能难以理解和监控,特别是在架构变得更加复杂和相互交织时。
API安全:最佳实践
那么,AJ建议组织如何保护他们的API?对她来说,两件事最重要:
可见性:你必须知道你有什么才能防御它。 API生命周期:定义API何时以及为何创建,如何构建,何时不再需要它们,以及如何确保它们被适当退役。
没有这种纪律,AJ警告说,旧的连接可能会持续存在足够长的时间,让攻击者发现它们。