首席信息安全官及其网络安全团队在流感大流行期间表现出了韧性。他们面临着预算减少和更复杂的攻击的挑战,这两种趋势将在来年继续下去。尽管如此,首席信息安全官仍需要制定一个全面的战略,以确保其组织的安全,同时确保董事会级别的安全优先级。


改变我们的工作方式


这场大流行考验了我们的分布式工作愿景,超出了我们的想象。远程团队已经证明,他们在不断应对家庭和工作生活融合的挑战方面具有难以置信的弹性。


但现在,随着世界许多地区开始摆脱封锁,首席信息安全官有一个独特的机会来提供维持和加强远程和混合工作模式所需的战略见解和方向。我们可能会看到许多人放弃传统方法,优先实施新的数字安全战略和用户友好的工具和政策,以安全地赋予工人的权力。

首席信息安全官如何将网络弹性纳入安全战略

采取零信任心态


首席信息安全官之间有一个广泛的共识,即当今网络安全挑战的复杂性要求“什么都不信任,什么都验证”的方法——也就是所谓的零信任心态。


虽然这种方法围绕个人身份重新定位安全边界,确保每个被授予访问权限的人和每个设备都是他们所说的人和物,但它不是一种一刀切的方法。事实上,首席信息安全官从零信任开始的最佳方式是确定其组织的最大安全风险,解决这些风险,然后随着时间的推移将控制扩展到新的、不太关键的领域。同样重要的是,与It和最终用户一起工作,确保他们全面理解和采用这种新模式。


像攻击者一样接近安全


威胁行动方总会找到新的创新方式来渗透网络、窃取数据和破坏业务——这不是一个是否存在的问题,而是何时出现的问题。诀窍是采取“假设违约”的心态,帮助在对手穿越网络并造成伤害之前发现并隔离他们。


这样做意味着进入攻击者的思维模式,这可以让首席信息安全官获得领先一步所需的优势。假设网络中的任何身份已经被破坏,这意味着安全团队可以预测攻击者的下一步行动,将影响降至最低,并在威胁到达有价值的资产并造成伤害之前阻止它们。


从最近的攻击和破坏中吸取教训


复杂的网络入侵,如SolarWinds数字供应链攻击,促使许多首席信息安全官重新评估其风险承受水平、网络安全和风险管理工作,以及持续脆弱的领域。除此之外,还敦促各公司更新其事故响应策略,使用NIST等框架进行指导。


如果组织受到攻击,应将回顾作为其学习的一部分,以进一步优化事件响应策略并建立恢复力。例如,提出的问题应该从“我们是如何被妥协或破坏的?”转移到“我们下次如何阻止它?”。


量化风险以确定预算优先级


最近的头条新闻攻击使得网络安全成为董事会经常讨论的话题,成为企业的当务之急。首席信息安全官的责任是确保网络安全仍然处于议程的首位,即使在新闻周期比较平静的时候。


为了成功地做到这一点,首席信息安全官必须量化风险,从而在财务方面采取缓解措施,并展示网络安全计划将如何与业务目标挂钩。行业框架还可以帮助首席信息安全官揭开网络安全的神秘面纱,弥合与董事会和高管层的沟通鸿沟。


向董事会和业务部门传达您的价值


与董事会讨论时,沟通不会停止。事实上,今天的首席信息安全官需要有效地向客户、合作伙伴以及内部利益相关者阐述网络安全的价值主张。随着数字供应链攻击受到严格审查,通过透明度建立信任的必要性前所未有。移情沟通的力量在这里怎么强调都不为过。


好消息是,首席信息安全官不再需要独自承担通信负担。通过与IT安全团队的积极合作,首席信息安全官可以增强他们对不同受众的信息,并打破任何已形成的孤岛


提供战略建议以确保组织的未来


这些重要主题有助于塑造我们的首席信息安全官和安全领导者不断扩大的角色,并从一开始就突出了他们作为数字转型计划战略顾问的重要作用。他们的投入使创新能够更快地进行,并提供更大的保护。


然而,要实现这一点,安全主管必须主动接受咨询职位,立即向关键利益相关者提供指导和战略。为此,首席信息安全官应在组织内部以及通过外部公共和私人伙伴关系寻找合作伙伴,这将提高其咨询能力,促进信息共享,并加快向网络弹性下一阶段的转变。


未来的道路将充满网络攻击、更复杂的攻击载体和方法,以及不断渴求权力的网络罪犯。首席信息安全官可以采取行动确保其组织的繁荣,而不仅仅是通过听取上述建议并接受这些未来趋势来生存。



免责声明

我来说几句

不吐不快,我来说两句
最新评论

还没有人评论哦,抢沙发吧~