首页 > 电视 > > 正文

压力下的CISO如何在高员工流动率的时代中保护敏感信息

2023-07-27 17:04:04 来源:企业网D1Net

在本文中,乔治城大学应用智能项目和研究生网络安全项目的兼职教授Charles Brooks谈到了零信任原则、身份访问管理和托管安全服务对有效的网络安全的重要性,以及AI、ML和跟踪工具等新兴技术的实施将如何增强供应链的安全。

CISO们认为他们有足够的数据保护措施,但他们在过去的一年中已经处理了许多敏感数据的丢失问题。你是如何调和这种明显的矛盾的?

尽管采取了保护措施,但数据仍会丢失,这并不奇怪。我们都在网络安全方面迎头追赶。互联网是在政府实验室发明的,但在私营部门实现了商业化。硬件、软件和网络最初是为开放通信而设计的。网络安全不是最初的主要考虑因素。由于互联网的连接性和商业的爆炸式增长,这种心态肯定已经发生了改变,而CISO们也正在玩一场追赶游戏。


(相关资料图)

有许多原因可以解释敏感数据的泄露。首先,黑客已经变得更加老练和有破坏力。黑客利用的基本工具和策略包括了恶意软件、社交工程、网络钓鱼(最简单、最常见的,尤其是针对企业高管的鱼叉式网络钓鱼)、勒索软件、内部威胁和DDoS攻击。此外,他们也经常使用暗网上所共享的先进且自动化的黑客工具,包括用于攻击和探索受害者网络的AI和ML工具。对于CISO们来说,不断发展的黑客武器并不是那么容易防御的。

另一个重要因素是,新冠肺炎疫情推动的指数级的数字连接也改变了安全模式。现在,许多员工会在混合式办公室和远程办公室中工作。有了更多的攻击面需要保护,而对CISO的可见性和控制措施却更少了。因此,得出更敏感的数据已经并将继续暴露在黑客面前的结论是合乎逻辑的。

想要充分保护是很难的,因为威胁也在不断演变。只需要一个狡猾的网络钓鱼,一个错误的配置,或者没有及时修补漏洞,就可以为漏洞提供机会。最后,许多CISO不得不在有限的预算和勉强合格的网络人员的情况下运作。也许他们也对在这种情况下能够达到的安全水平期望较低。

随着经济衰退给安全预算带来的更大压力,CISO们又该如何优化资源,并有效的管理网络安全风险?

CISO们必须根据他们的行业和规模制定审慎的风险管理策略,以便能够更好地优化资源。一个好的风险管理策略将设计出一个漏洞框架,识别出要保护的数字资产和数据。一个好的风险评估也可以快速的识别并确定出网络漏洞的优先级,以便可以立即部署解决方案,保护关键资产免受恶意网络的攻击,同时立即提高整体运营网络的安全。这包括使用新的安全工具(加密、威胁情报和检测、防火墙等)和政策来保护和备份企业系统,例如:财务系统、电子邮件交换服务器、人力资源和采购系统等。

在漏洞框架中有一些措施的成本并不高。这些措施包括了要求员工使用强密码,并要求进行多重身份的验证。通过设置防火墙,CISO可以制定计划来分割其最敏感的数据。加密软件也在考虑的范围内。云计算和混合云的使用支持动态策略的实现、更快的加密、降低成本,并为访问控制提供了更多的透明度(减少来自内部的威胁)。一个好的云提供商可以以合理的成本提供其中的一些安全控制。云本身并没有风险,但CISO和公司需要认识到,他们必须彻底评估提供商的政策和能力,以保护其重要数据。

如果CISO正在负责保护没有深度IT和网络安全团队的中小型企业,并且对云成本和管理持谨慎态度,他们也可以考虑外部管理的安全服务。

在员工流动率高的情况下,企业如何更好地保护敏感信息?

这就是零信任策略的本质所在。零信任是一组不断发展的网络安全范式的术语,这些范例将防御从静态的、基于网络的边界转移到了关注用户、资产和资源。企业需要了解与网络、设备和人员相关的所有信息。

其中身份访问管理(IAM)是非常重要的。IAM是用于控制谁可以访问系统内资源的一组技术和策略的标签。CISO必须确定并知道谁可以访问哪些数据以及为什么可以访问。如果员工离职,他们需要立即撤销特权,并确保没有从企业中删除任何敏感内容。市场上的供应商也提供了许多很好的IAM工具。

当然,员工流动也涉及到了道德和信任因素。员工内部威胁很难发现和管理。其中一些可以在雇佣合同中提前解决,只要员工了解所涉及的法律参数,他们就不太可能泄露敏感数据。

我们看到了CISO的倦怠和对个人责任担忧的加剧!是的,CISO的职责太多,预算太少,员工太少,无法运营和帮助减轻日益增长的网络威胁,这是导致倦怠的直接原因。现在,个人责任因素也增加了风险,例如针对Solar’s Wind首席信息安全官的集体诉讼,以及针对优步CISO隐瞒勒索软件付款的诉讼。在一个已经缺乏必要网络安全领导者和技术人员的行业里,CISO不仅需要获得工具,还需要获得必要的保护,以使他们能够在自己的角色中脱颖而出。否则,倦怠和责任问题将使更多的公司面临更大的风险。

这些挑战是如何影响CISO的整体工作效率的,又可以采取什么措施来应对这些挑战?

尽管入侵的频率、复杂性、致命性和责任变得越来越大,但行业管理层在提高网络安全方面几乎毫无准备,且行动迟缓。根据Gartner的一项新的调查显示,88%的董事会将网络安全视为商业风险,而不是技术风险,而且只有12%的董事会设有专门的董事会级网络安全委员会。

“是时候让IT部门以外的高管承担起保护企业安全的责任了,”风险与安全研究主管Paul Proctor说。“2021年各地涌入的勒索软件和供应链攻击,其中许多针对的是关键操作和任务环境,是时候应该敲响警钟了,安全应该是一个业务问题,而不仅仅是IT要解决的另一个问题。”

CISO不仅需要在高管层中占有一席之地,还需要拥有类似于其他高管的保险保障,以限制他们的个人责任。因为没有完美的网络安全解决方案。在我们岌岌可危的数字环境中,任何公司或个人都可能发生违规行为。让CISO一个人去做,既不公平,也不合理。类似的,网络安全也不应再被视为是企业的成本项目。它已经成为了一个ROI,可以确保运营的连续性并保护声誉。对公司和CISO的薪酬和所需职责组合的投资都需要成为未来的优先事项。

由于供应链风险仍然是一个反复出现的优先事项,CISO如何更好地管理其网络安全战略的这一方面,特别是在预算有限的情况下?

确保供应链不被破坏,包括设计、制造、生产、分销、安装、运营和维护要素,对所有公司来说都是一项挑战。网络攻击者总是会寻找最薄弱的切入点,降低第三方的风险对网络安全来说是至关重要的。供应链网络攻击可能来自于敌对国家、间谍运营商、罪犯或是黑客活动者。

CISO需要了解供应链中所有供应商的可见性,以及既定的政策和监控。NIST是美国商务部的一个非监管机构,它为供应链安全提出了一个建议框架,为政府和行业提供了健全的指导方针。

NIST的建议如下:

识别、建立和评估网络供应链风险管理流程,并获得利益相关者的同意确定供应商和第三方供应商合作伙伴,确定其优先级并对其进行评估与供应商和第三方合作伙伴签订合同,以实现企业的供应链风险管理目标使用审计、测试结果和其他形式的评估,定期评估供应商和第三方合作伙伴完成相应的测试,以确保供应商和第三方供应商能够响应并从服务中断中恢复

其他缓解工作则可以通过获取监测、警报和分析供应链活动的新技术来完成。AI和ML工具可以帮助实现可见性和预测分析,速记和水印技术则可以实现对产品和软件的跟踪。

标签:

压力下的CISO如何在高员工流动率的时代中保护敏感信息

在本文中,乔治城大学应用智能项目和研究生网络安全项目的兼职教授Char

2023-07-27 17:04:04

星空有约|28日发生“月掩心宿一” 来看难得一见的月掩亮星

新华社天津7月26日电(记者周润健)天文科普专家介绍,7月28日晚,

2023-07-27 17:02:33

预制菜智慧“黑灯工厂”来了,上海闵行4个重大产业项目开工

7月26日,上海闵行区浦江镇2023年重大产业项目集中开工仪式举行。此次

2023-07-27 16:40:50

河北衡水景县市场监管局综合施治助推县域白酒生产企业提质升级

为进一步加强白酒生产监管,全面提升景县白酒生产质量安全,及时消除白

2023-07-27 16:25:10

西藏二级建造师历年分数线

西藏二级建造师历年分数线由二级建造师考试栏目提供,查找更多考试报名

2023-07-12 12:11:03

红米 K60 手机搭载了骁龙8+处理器

红米K60手机是小米旗下的一款高端智能手机,它搭载了骁龙8+处理器,为

2023-07-12 11:49:01

明日填报!江西提前批本科征集志愿

7月8日下午,省教育考试院召开江西省2023年普通高校招生录取第一次新闻

2023-07-12 11:21:22

巢湖市苏湾镇:网格赋能 激活基层治理“红色力量”

专稿:为全面提升乡村治理能力和服务水平,近年来,合肥市巢湖市苏湾镇

2023-07-12 10:53:55

最新发布!泰安这一片区用地规划修改!

7月10日泰安市自然资源和规划局发布023-0063上高片区(F5片区)双龙15

2023-07-12 10:12:05

答题卡下载(六级答题卡下载)

高中第一次月考结束,回归平常。孩子的反思总结已完成,家长做的事:除

2023-07-12 09:48:50

印度最销魂的冷兵器,据说可以一剑甩死九人

印度软剑起源于印度南部,是易弯曲的剑鞭,刃片是由弯曲度很高的金

2023-07-12 09:30:10

一揽子成长方案让好老师不断涌现

■融媒体教育局长访谈天津市蓟州区针对教师队伍中长期存在的难点问题,

2023-07-12 08:51:53

上半年四川水环境质量报告发布 18个市(州)水质优良率100%

7月11日,四川在线记者从四川省生态环境厅获悉,2023年1—6月全省水环

2023-07-12 08:35:30

降雨登场 湿度变大 这些地区将变得闷热

11日的高温情况也非常直观反映了南北变化:高温核心区域转移到长江流域

2023-07-12 08:01:41

OPPOK10,近期好价,入手仅需1359元

目前,在OPPO官方店,OPPOK10标准版的实际到手价,已经是被下调到了135

2023-07-12 06:59:55

让刺自己跑出来的方法(手上刺怎么去除小妙招)

1、去除手上刺的小窍门有:温水浸泡;植物油软化;食用盐和小苏打;使

2023-07-12 05:37:27

7月11日基金净值:广发创业板ETF最新净值1.312,涨0.81%

7月11日,广发创业板ETF最新单位净值为1 312元,累计净值为1 312元,较

2023-07-12 02:49:18

公主连结台服wiki官网攻略(公主连结台服地下城)

hello大家好,我是城乡经济网小晟来为大家解答以上问题,公主连结台服w

2023-07-11 23:10:26

《扫毒3》差评出奇一致,三位影帝中,古天乐是最大败笔

时事热点头条说 香港电影《扫毒3》上映两天,票房仅有6000多万。而同

2023-07-11 21:50:50

“数智”桐庐展风采 争当数字化改革“领跑者”|八八战略 红色领“杭”·桐庐实践

2003年1月,时任浙江省委书记习近平同志提出“数字浙江”建设;这一年

2023-07-11 21:04:19

【短讯】传闻蚂蚁金服成立金融IT瓜分蛋糕,恒生电子股价遭突袭,券商研报尾盘救场:不是那么容易的事

【短讯】传闻蚂蚁金服成立金融IT瓜分蛋糕,恒生电子股价遭突袭,券商研

2023-07-11 20:22:26

国内首张!比亚迪获R155/R156车型证书 进军欧洲畅行无阻了

7月10日,国内商用车首张UNECER155&ECER156车型VTA证书颁证仪式在比亚

2023-07-11 19:39:22

大地熊: 公司于2015年9月获批建设稀土永磁材料国家重点实验室

大地熊(688077)07月11日在投资者关系平台上答复了投资者关心的问题。

2023-07-11 18:52:27

完善公司产业链布局 果麦文化增资星图比特1500万元

为完善公司产业链布局,扩宽产业链,7月10日,果麦文化(301052)披露

2023-07-11 18:11:02

四川局地大暴雨来袭,今年首个地灾橙色预警拉响!

来源:四川自然资源根据四川省地质环境条件,结合四川省气象台天气预报

2023-07-11 17:53:29

谷歌的生成式人工智能平台Vertex现已向所有人开放

真人版《芭比》曝预告 高司令展歌喉秀“肯能量”

“麦茬西瓜”能卖好价

利柏特:预计上半年归母净利润同比增143.81%-172.50%

早盘A股28只涨停,没有跌停!李大霄称3200点一线起飞概率陡增

“上门经济”立规才能长远

多位中国体育健将已确定出征成都大运会

广西大学生就业指导中心 广西大学生就业服务中心官网

关于近期有MC服务器“问卷入服”可能与帅锅策略相似声明

拥有XGP会员的暴雪用户有望免费玩《暗黑4》!

中国海军“和平方舟”号医院船反恐反海盗演练

7月12日国内汽柴油价或再迎上调

出梅+入伏 一连串35℃+来袭

揭秘“无条件全额退保”广告背后的黑色产业链

国家烟草专卖局科技司原司长张虹接受纪律审查和监察调查

A股开盘:三大指数集体高开

中考742分读师范专科该惊讶吗 如何看待中考的另一个赛道?

美女的特别助理小说(美女的秘密)

1亿还是2亿?睢冉寻找签字费不违规方法,避免周琦加盟北京被举报

绿通科技(301322):7月10日北向资金减持30.75万股

信用卡没有还会被起诉吗

迎“篮”而上,巴特尔现身惠州江北街道篮球联赛

赴一场沉浸式体验!常德“梦回汉室 盛世美麟” 古风集市游园会举行

标普:授予香港置地拟发行高级无抵押票据“A”长期发行评级

何以中国丨“简”述中国 “牍”懂丝路:天下大同

x 广告
x 广告

Copyright @  2015-2022 亚洲家电网版权所有  备案号: 京ICP备2021034106号-51   联系邮箱:5 516 538 @qq.com