首席信息安全官们需要关注的四件事
根据思科安全解决方案的负责人表示,鉴于支持网络攻击犯罪的基础设施变得能够更有效地加快发展新的安全威胁,这迫使企业的首席信息安全官们需要不断加强新技能的学习,以确保其所在企业业务和所处工作环境的安全发展。
他们必须对网络安全有扎实过硬的知识,而且还必须能够很好地沟通,发掘并管理企业内部安全人才,准备预判安全威胁环境将如何发生变化,思科安全解决方案副总裁詹姆斯·莫布里表示说。詹姆斯·莫布里曾担任安全咨询公司Neohapsis的前任CEO,该公司去年被思科收购。
在他的日常工作中,莫布里经常需要与一些企业的首席信息安全官们保持联系,与他们探讨他们当前所面临的困难和挑战,以及他们为了避免发生数据泄露和安全威胁事件而损害他们的业务所正在采取的相关措施。
最近,Network World网站高级编辑提姆·格林尼的采访,并就这些挑战和困难,以及首席信息安全官们应该如何应对他们角色的改变等相关话题谈到了自己的看法。以下是采访实录。
Network World(NWW):在现如今这样一个瞬息万变且充满活力的企业市场环境下,如果要您为想要获得成功的企业首席信息安全官(CISO)们提出一些建设性的意见和建议的话,排名前四或前五位的建议有哪些?
莫布里:首先,而且也是最重要的是,CISO们仍然需要对于安全原则有很深刻的理解,需要了解安全涉及到了三大主要领域:人员、流程和技术。
其次,尽可能多的对于围绕安全威胁的因素有广泛的理解。安全性实际上是以安全威胁为中心的,其是关乎理解如何构建一款在任何情况下,均能够为您企业的业务带来最大的灵活性的平台。您必须预见到安全事态的发展,并确保您企业所构建的平台能够非常迅速的扩展,和非常迅速的调整。我想说,务必要牢记这一点,以安全威胁为中心,并了解所有安全威胁的动机所在。
领导能力将是下一个需要关注的方面。鉴于现如今企业首席信息安全官们的角色定位正在不断演变升级,因此他们需要具备强有力的战略领导能力,这不仅能够让他们能够很好的领导所属的机构,并且还能够引领企业内部组织架构的变化。这并不是很容易的事。这需要涉及到各种能力的整合,而这种多能力的整合尚未在多数CISO身上被看到或被发掘出来。
除上述之外,我只想简单的说CISO们需要确定如何在人才严重短缺的环境中打造一支企业内部的团队。您要如何将手下人员组织起来,加速学习能力,并提高整个企业围绕着安全的IQ?您必须找到各种发掘和培养人才的方法,不仅要让他们能够更好的发挥自身的潜能,而且要关注留住人才的方法。您怎么才能做好管理呢?我认为这是企业的首席信息安全官们所面临的一大主要挑战,首席信息安全官们最好的是要能够很好的吸引人才,发掘人才和留住人才。
首席信息安全官的角色定位是如何发生转变的?
与早些日子的关注所有管理领域相比较,我认为他们现在的角色定位更倾向于具有战略性质,所以,我们现在看到很多首席信息安全官要么直接向CIO报告或者不再是CIO的下属,而需要与CIO一起向CFO或COO汇报。
我认为这很重要,因为企业大部分的策略的推出均来自企业顶层,而一旦企业顶层的理念与首席信息安全官们的想法一致,他们就会有更好的机会去实施他们的计划。
企业网络环境如何变化?
这方面有一系列的例子都是围绕着影子IT的。许多企业甚至不熟悉他们允许员工访问的基于云的系统。这也意味着企业不熟悉员工使用的所有的主要平台,从而增加了安全风险。所以您看到了影子IT的出现,您可以看到企业员工随意下载移动应用程序。有数据显示,大约97%的安卓移动应用程序都有某种程度的安全或隐私风险,而这些应用程序都是被企业员工下载的,这些应用程序也可能通过其所安装设备上的应用程序窥探到了企业的数据信息。
然后,还有物联网。这意味着会有很多设备和不同的人能够实现互联,但大多数设备其实没有被连接或是未受保护的设备。在我们担任顾问期间,我们做了大量工作,了解到诸如输液泵和家庭自动化系统等等现在都拥有IP地址。我们可以看到融合的设备正在创造一个相当有趣的挑战,但企业首席信息安全官们必须跟上这一趋势。这种不断变化的业务模型正是他们所面临的最大问题之一。
另一个是复杂度。我们总是说,在安全管理中,最薄弱的环节是人。而我们现在则将技术将到这一最薄弱环节的人的手中,首席信息安全官们对于这些人的实际操作可能具有、也可能不具有可视性。我认为首席信息安全官们遇到的挑战是,很多安全攻击仍然发生在应用程序层,而企业现在对于这些应用程序只有较少的可视度,这将在员工操作过程中带来风险增加的机会。
我认为这另一方面关乎到设备数据损失的标准。企业有些数据是可以丢失的,无论其是从平板电脑,还是从移动设备,所以这是一个组合因素,更不要说有时这些已经是超出您企业范围的第三方和企业外部的应用程序了。
我认为,当您随着企业业务活动范围的扩展,设备和人员均是这一系统的一部分,包括第三方,那么相关安全风险相当会明显上升。
您怎么看待首席信息安全官应对这些变化?
所以现在我们开始看到由首席信息安全官们所推动的试图把事情简单化的运动,以便确保能够从技术整合中获得价值最大化,确保企业环境管理能够更容易。
现在,我们如何看待使我们能够被定位为规模化、被定位为插入新技术的能力、使得环境管理更容易、连接更容易的安全架构的方式?这就是我们所看到的首席信息安全官们所更多推动的其他趋势:“让我们来打造一幅企业蓝图来推动业务发展”,而不只是担心战术方面的问题,如“我怎么看到企业环境中的漏洞?”
首席信息安全官们如何评价环境安全威胁的变化?
如果说真有什么实质性的转变的话,那就是安全攻击性质的转变了。他们更先进,因为攻击者有了更好的资助,并且有更多的资源投入逃避防御所需的技术类型。这对于可视化和能见度造成了一大挑战,因为如果攻击正变得越来越先进,企业必须具备看到这些攻击的能力,并在当有些安全攻击事件正在发生时确定的能力,这样就可以对安全攻击事件更快的做出响应。
所以更高级先进的攻击意味着我们现在可以看到企业的首席信息安全官们需要寻找更多的安全威胁情报,大数据分析,这样他们就可以不仅仅是通过指标来分析安全风险,还需要通过数据分析来识别与他们环境相关的各个方面——包括防火墙,终端,电子邮件,网络,并充分利用所有这些数据,以试图进行分析和预判。
首席信息安全官们如何处理合格员工短缺的问题?
当我们在与来自不同公司的首席信息安全官聊天时,我们往往会碰到有大量首席信息安全官抱怨招不到合适人才的问题。因此,当您思考分析这方面的问题时,会开始一点点的转向如何获得更高的可视化,自动化的能力,提升不同的业务合作的能力,并找到方法以促进合作环境的建立,使您企业可以充分利用跨企业的人才。我们除了在首席信息安全官们那里看到他们如何更迅速的招聘人才之外,上述思路是我们从与他们的探讨中较多涉及的。我们还看到他们更多的实施员工培训计划,他们试图把刚刚走出校门的聪明毕业生尽快培养成熟练员工。我认为所有的事情都是积极的,但人才短缺似乎是一个挑战,但试图填补会有很大的差距。
在您看来,首席信息安全官们为了创建安全的网络都采用了什么办法呢?
我们经常听到的是,“首先,让我确保我没有任何明显的缺陷。”当这种情况发生时,通常他们正在寻找几件事情。他们会查看任何应用程序:“我的应用程序安全吗?”,或者正在努力确保首先是网络,然后是基础设施和应用程序的安全性。他们花了大量的时间在应用程序上,并试图确保该应用程序是安全的,而网络也得到了适当分割,部署了恰当的安全框架。
这些都是需要做的工作,然后需要重点关注周围人的反应。正是围绕周围人的反应,使他们能够做好准备工作,然后是关于一旦发生突发安全事故,如何快速整合,遏制和回到工作状态中。
首席信息安全官们是如何看待物联网的?
我想说的是,如果有一个领域每个人都知道其即将到来,而且其是通过很多方式定义的,那便是IoT或者说是整个IoE(Internet of Everything),这将是非常有趣的。我们现在所看到的情况是:“我要在网络上使用我的设备,我想确保其是安全的。”但其真正却应该是:“我怎样在一个完整的业务流程中实现数字化?我现在如何才能在一个曾经是由工业手段推动的流程中添加传感器,收集信息,并应对安全攻击,然后使用所有的信息反馈到后端的情报,使我能够做出决策,这可能是基于市场的决定,针对特定产品的需求,或者可能是决定农民如何去对不同的土地施肥,以帮助提高产量?”
首席信息安全官们必须开始深入思考,而不只是试图填补漏洞。这也是围绕着促使首席信息安全官角色定位变得更具战略意义的其中一件事情。除了技术能力,他们还必须确保他们对于业务流程及其如何发展有着非常敏锐的感知。