CISO与CIO是企业中的一对搭档,昨天海外风向标带您关注了海外巨头企业的CIO们是如何回忆2015年,展望2016年的。今天我们再来关注海外名企的CISO们,明年他们的清单上又有哪些要求呢?
数据安全风险是时刻存在的,企业的CISO往往也面临着更多的选择和挑战。近期,数位海外大型企业的CISO接受了国外媒体采访,列出了未来一年中他们工作上的愿望“清单”。这些清单的条目包括:
1.集成安全工具;董事会的重视;科学培养的重要性。
2.应对风险的思想转变。
3.招募技术专家。
4.企业对安全的重视。
5.高层对安全风险的认识。
6.随时监测并应当风险的工具。
7.能力的加强与企业的财政支持。
8.新的安全监控平台。
下面我们为您一一介绍“清单”上的那些事儿.....
1.戴维.巴顿,CISO,Websense
集成安全工具。现如今CISO们都需要应对日益复杂的安全工具,但却没有很好的在一起沟通,彼此互相补充。在2016年,我希望有更多的安全产品,能够让CISO们聚在一起,为了基于标准化的技术分享而进行交谈和沟通。
董事会的重视。太多的CISO们都被企业归类为应付安全危机的职能。但安全问题也存在于董事会中,在企业高级执行战略会议中,在许多业务的规划进程中,也在业务的运营中。因此在接下来的一年,我也希望董事会能更重视CISO的地位和作用,让我们能够提供安全的建议/指导,以便帮助业务能够在安全的形势下健康运营。
科学培养的重要性。信息安全人才的匮乏是世界性的行业短缺。这种趋势还将继续发展,直到企业能够从大学和高中招募到足够的能够胜任的年轻人才。如果这种趋势不能逆转,那么我们将没有足够的安全人才和能力来保护重要数据。因此在2016年,我更多的兴趣将放到教育上,希望有更多的信息安全技术学科背景、并追求信息安全行业的人才从大学毕业。”
2.玛丽.钱尼,全球信息安全主管,强生公司(Johnson&Johnson)
“明年我最大的愿望就是所有的应用程序和数据库都能变得安全。今天的企业该如何应对和管理出现在企业网络、应用程序数据库层面中的电子漏洞呢?我认为人们的思想应该有所转变。漏洞的提醒实际上是暴露了一个组织潜在的风险,也是体现所有的业务风险的重要因素。
信息安全从IT的诞生,已经成长到今天的日益成熟,多年来,安全专家们坚信一个防御坚固的企业网络就是一切安全问题的答案。我们公司就曾为传统的网络防御系统,打造了完整的信息安全防护程序。但现在这一切都变得不再有效果。作为专业人士,我们需要转变思想,更加专注于技术和风险之间的关联。
现如今,从分析师到管理层都需要知道的是,攻击者的手段已经不再是强力的网络攻击,而是攻击企业的应用程序和数据库,也就是真正存储数据的地方。所以你必须时刻聚焦在你所处的环境中,真正存在风险的地方,也就是未打补丁和不安全的应用程序及数据库。一旦你找到了问题的答案,你就可以投入合适的时间、资金和精力,来建立企业的数据安全战略。”
3.埃尔坎.卡勒曼,CSO,Planview
“去年我曾希望我能完成项目进度,而在这一刻,我可以说,我完成了我的目标。对于接下来的一年,我希望能找到合格的技术专家加入我的成长团队。现在这种专家真的不容易招募。”
4.RobertJ.Schadey,CISO,1901Group
“2016年,我希望企业更关注安全工程应用的重要性。在企业中,如何知道防止核心功能被剥削的重要性?为什么安全问题总是在系统运营之后才被考虑,甚至是等到漏洞剥削系统资源的情况被发现和确认之后?在联邦政府、零售业甚至国防部的信息安全方面,这种错误似乎也出现在了这些系统工程建设中。
通常情况下,产品的选择和收购进程,往往是从反复的安全验证和供应商的安全保证开始的,在产品的监控、管理和支持中应用方法的安全性是必须被证明的。安全工程的应用程序在设计阶段,就必须朝着维护产品的恶意威胁处理能力,与提高产品生存能力之间的平衡性的方向发展。系统的识别功能和安全需求必须是在一个健全的开发过程中,同时数据的安全急救基线开发和所需文件要确保,这个系统的实施能够在技术上对风险及风险残留进行针对性防护。”
5.戴夫.达尔瓦,副总裁兼CISO,StrozFriedberg
“在2016年,我更希望企业的董事会和领导层能够意识到,应该把信息安全的风险管理视作最高级别的管理,等同于财务、名誉和法律风险。通常这些利益相关者提升对安全风险的关注,是因为本身或合作者有违约情况出现。我希望看到他们越来越主动的去了解安全风险是如何影响业务的,以及企业文化为何对于一个好的安全风险管理计划是如此的重要。”
6.JasonTaule,CSO,FEISystems
“在明年,我希望继续保持业务的发展与风险之间的平衡,在我的清单上只有一个附加条件,那就是像动漫《特种部队》里的那种可操作性的情报图。如今我们有丰富的工具和技术来抓取和评估威胁数据,但实际上我们自己成为了这种成功的受害者。对一切已经发生的数据威胁做出反应是不切实际的,现在的情况是,我们必须比以往更加重视早期的攻击检测,阻止未经授权的数据传输,并及时做出反应。忘记曾经的成就吧,最重要的事情已经变成如何在针堆栈中找到指针。”
7.柯蒂斯.达尔顿,高级副总裁兼信息风险与安全经理,文思海辉(Pectera)
“2016年,我希望通过跨企业系统的资源来加强行为分析的能力,以此发现数据误用或是滥用的现象。同事企业从董事会到各业务部门,对CISO的明确支持,包括他们希望风险降低到什么层次,和为了达到这个目的他们所能给予的预算支持。”
8.罗兰.克劳蒂,副总裁兼CSO,AutomaticDataProcessing(ADP)
“未来的一年,我希望安全技术部门的设计师、工程师和产品设计专家们,能够考虑开发一种自动化系统安全控制的高效平台。由于我要负责的是一个巨大的资源杠杆,所以在现有的安全管控中,如果能增加有效的透明度和高效的弹性,从企业决策的角度,甚至是审计这方面的考虑来讲都是很重要的。因此想象一下,如果我们安全部门能够看到一个可操作的平台或是报告,它们能够反映出我们当前系统运行的程度。我们也就能够知道各部门的需要,他们的效率和其内部资源分配、巩固乃至移除的概率。”
透过海外CISO们的“清单”,我们可以看出,企业高层的重视、高级工具的使用和人才的短缺是CISO们面临的最大的挑战。2016年,您的愿望“清单”上想写什么呢?