8位頂級CISO的新年目標(biāo)與行動計劃
責(zé)編:gltian |2024-01-03 14:39:05在企業(yè)數(shù)字化轉(zhuǎn)型的大潮中,面對日益擴大的攻擊面和日益復(fù)雜的安全威脅,CISO(首席信息安全官)們將會在2024年面臨更加嚴(yán)峻的風(fēng)險挑戰(zhàn)和能力測試。為了加強防御和應(yīng)對威脅挑戰(zhàn),8位全球頂級的CISO日前向?qū)I(yè)IT網(wǎng)站DarkReading.com分享了他們的新年目標(biāo)和關(guān)鍵行動計劃,這些目標(biāo)大多聚焦于如何加強組織安全態(tài)勢的舉措和方法,也再次強調(diào)了采取主動措施、增強運營能力和響應(yīng)能力對實現(xiàn)數(shù)字化轉(zhuǎn)型發(fā)展的必要性。
1.?Justin Dellportas
——Syuniverse首席信息安全官
2024年,我最重要的工作就是提高公司網(wǎng)絡(luò)安全彈性,這主要包括評估業(yè)務(wù)連續(xù)性、災(zāi)難恢復(fù)(BC/DR)和事件響應(yīng)(IR)計劃等三大方面。我們會努力保持這些計劃的更新,并在適當(dāng)?shù)臅r間周期進行練習(xí),同時也會密切關(guān)注那些基礎(chǔ)性的威脅發(fā)現(xiàn)、預(yù)防和響應(yīng)能力。
2024年,我會要求團隊更加了解數(shù)字化業(yè)務(wù)的關(guān)鍵產(chǎn)品和流程,能夠快速模擬出潛在的破壞性場景,并確定組織的BC、DR以及IR計劃是否足以緩解相關(guān)的網(wǎng)絡(luò)安全風(fēng)險,這一點非常重要。當(dāng)然,這不是僅僅依靠安全運營團隊就能在“真空中”完成的事情,因此,與業(yè)務(wù)部門建立牢固的伙伴關(guān)系并與公司管理團隊保持聯(lián)系將是我們?nèi)〉贸晒Φ年P(guān)鍵。
2024年,我還會嘗試建議公司建立一個跨職能的網(wǎng)絡(luò)安全風(fēng)險管理委員會,這樣可以確保建立可靠的偵查、預(yù)防和響應(yīng)能力及安全流程。在此基礎(chǔ)上,擁有基準(zhǔn)配置、集中日志記錄和補丁會進一步幫助我們緩解網(wǎng)絡(luò)攻擊的影響。
2.?Rinki Sethi
——Bill首席信息安全官
在2024年,我希望能夠和公司IT部門一起建立積極主動的協(xié)同關(guān)系,從而做出重大的安全改進,包括建立強大的組織網(wǎng)絡(luò)安全文化。人工智能和其他新技術(shù)正在改變世界各地的組織,而監(jiān)管格局也正在發(fā)生變化,并推動對網(wǎng)絡(luò)安全計劃的更多審查。在此背景下,識別人為錯誤、防護社會工程和缺乏網(wǎng)絡(luò)衛(wèi)生的風(fēng)險仍然會是我們?nèi)粘9ぷ髦械膬?yōu)先領(lǐng)域,并且隨著人工智能技術(shù)成為更流行的攻擊媒介,這一挑戰(zhàn)可能將變得越來越大。
對于威脅行為者使用AI實施攻擊的趨勢,組織必須提高警惕,并對員工進行再培訓(xùn),以監(jiān)視和報告任何惡意活動。我對2024年這一領(lǐng)域的可能性和機會感到興奮,因為如果我們做對了,它將改變游戲規(guī)則,有利于更好地阻止威脅行為者。
3.?Katie McCullough
——Panzura首席信息安全官
在迎接新一年的時候,我們的重點工作計劃不僅是聚焦防御能力的提升,最重要的決議是建立有效的防護機制,以確保在突發(fā)性安全事件出現(xiàn)時實現(xiàn)影響最小化。因此,2024年我們將致力于創(chuàng)建一個更加強大的網(wǎng)絡(luò)安全事件響應(yīng)計劃和恢復(fù)策略,以便在攻擊發(fā)生后迅速恢復(fù)到業(yè)務(wù)正常運營狀態(tài)。我們相信,只要為各種最壞的情況做好提前準(zhǔn)備,即使面臨潛在的網(wǎng)絡(luò)威脅,組織也可以保持其業(yè)務(wù)連續(xù)性和客戶信任。
2024年,我們還有一個關(guān)鍵的目標(biāo)是對潛在的安全風(fēng)險進行更加全面地識別、評估和處置。當(dāng)然,要實現(xiàn)這種前瞻性的風(fēng)險管理方法需要持續(xù)監(jiān)控和評估公司的網(wǎng)絡(luò)安全態(tài)勢,以識別潛在的風(fēng)險。通過及早認(rèn)知和處理這些風(fēng)險,我們才可以防止它們演變成嚴(yán)重的威脅。
最后,我們還希望能夠提供一種與用戶和業(yè)務(wù)部門無縫集成的安全服務(wù)。這意味著我們需要設(shè)計強大且用戶友好的網(wǎng)絡(luò)安全措施,確保安全協(xié)議不會妨礙生產(chǎn)力或用戶體驗。通過實現(xiàn)這種平衡,公司將可以維護一個支持業(yè)務(wù)目標(biāo)的良好安全環(huán)境。
4.?Devin Ertel
——Menlo Security首席信息安全官
我已經(jīng)要求我的團隊在新年伊始就進行一次徹底的風(fēng)險評估,找出各種潛在的安全風(fēng)險和弱點,這樣才可以戰(zhàn)略性地分配安全資源,以解決最緊迫的安全問題。我認(rèn)為,通過這種主動的安全防護方法,不僅可以確保公司現(xiàn)有的網(wǎng)絡(luò)安全策略是深層響應(yīng)的,而且還能更有效地預(yù)測新出現(xiàn)的威脅,為構(gòu)建企業(yè)網(wǎng)絡(luò)彈性提供堅實的基礎(chǔ)。
為了更好地實現(xiàn)2024年的工作目標(biāo),我會繼續(xù)說服公司董事會將網(wǎng)絡(luò)安全戰(zhàn)略與組織預(yù)算相結(jié)合,這涉及明智地分配財政資源,以實施強有力的安全措施。對于我們公司而言,在先進安全技術(shù)投資和確保安全運營工作可持續(xù)性之間保持一種適當(dāng)?shù)钠胶馐侵陵P(guān)重要的。
5.?Joseph Carson
——Delinea 首席信息安全官顧問
2024年已經(jīng)到來,我將領(lǐng)導(dǎo)我的團隊繼續(xù)尋找把安全密碼移到工作場所后臺的方法。目前,我們已經(jīng)看到許多組織實現(xiàn)了無密碼訪問,在增強安全性的同時也改善了用戶體驗。我們希望通過把密碼移到后臺,讓企業(yè)的數(shù)字化轉(zhuǎn)型之旅變得更美好、更安全。
2024年,在新興技術(shù)、不斷變化的威脅環(huán)境和監(jiān)管框架的推動下,網(wǎng)絡(luò)安全合規(guī)形勢正在發(fā)生重大變化。GDPR和CCPA等隱私法規(guī)為更嚴(yán)格的數(shù)據(jù)保護要求奠定了基礎(chǔ)。因此,我們在2024年也將為此趨勢做好準(zhǔn)備,提升處理個人數(shù)據(jù)的合規(guī)能力和保護范圍。
6.?Gareth linddahl -wise
——Ontinue 首席信息安全官
2024年,我最主要的工作任務(wù)就是集中精力預(yù)測威脅。因為真正的“黑天鵝事件”很少,我們可以通過多種方式預(yù)測威脅,包括實戰(zhàn)化的攻擊模擬、實施桌面對抗練習(xí),以及強化檢測、預(yù)防和響應(yīng)事件的能力等。
此外,2024年我的另一項重要工作就是提升自己在公司的影響力,并推動更多的部門的人員參與到網(wǎng)絡(luò)安全工作中。網(wǎng)絡(luò)安全很多時候是在威脅事件發(fā)生后的考慮和處置。這需要讓我的同事和領(lǐng)導(dǎo)知道如何在常見的業(yè)務(wù)場景中管理安全風(fēng)險,包括收購、新產(chǎn)品或服務(wù)發(fā)布、投資、市場進入或縮小規(guī)模。
7.?John Bruns
——Anomali 首席信息安全官
2024年,我的主要工作重點會側(cè)重于三個核心領(lǐng)域:主動性措施、操作性措施和響應(yīng)性措施。
在主動性措施方面,我們會完成或更新公司的整體成熟度評估,更新風(fēng)險登記冊(risk register),并在此基礎(chǔ)上建立未來兩到三年的網(wǎng)絡(luò)安全建設(shè)路線圖。在風(fēng)險登記冊的更新過程中,我們將嘗試引入緩解和控制措施,從而增強組織抵御網(wǎng)絡(luò)攻擊的能力。
在操作性措施方面,我們將會關(guān)注安全工具、流程和人員,努力構(gòu)建更加全面的檢測和響應(yīng)策略。因此在我們改進操作性的年度工作計劃中,首先就是會繼續(xù)增強我們的日志管理策略,以推動更好的檢測工程。從基本的日志記錄到高級的日志記錄,我們會不斷構(gòu)建和調(diào)整我們的檢測和響應(yīng)流程,以確保減少事件平均響應(yīng)時間。
在響應(yīng)性措施方面,我的重點工作是確保我們擁有“地面軍隊”(boots-on-ground)能力,包括事件響應(yīng)專家、取證捕獲和分析能力以及恢復(fù)處置的能力,主要包括重建系統(tǒng)、補丁管理或棄用受影響的系統(tǒng)。
8.?Dana Simberkoff
——AvePoint 首席風(fēng)險隱私和信息安全官
我認(rèn)為,人工智能時代正在到來,這是人力所不可抗拒的,因此我們必須確保負(fù)責(zé)任地、安全地利用AI技術(shù)。考慮到這一點,我的團隊將會在2024年和公司的IT部門和業(yè)務(wù)部門合作,共同開發(fā)和實施生成式人工智能“可接受使用政策”(acceptable-use policies,AUP)。這個政策中會全面包括數(shù)據(jù)隱私和機密性、獲取gen AI以及負(fù)責(zé)任地使用該技術(shù)。
除了制定可接受使用政策外,我們還將對公司的所有員工進行持續(xù)的安全性培訓(xùn),以便他們意識到并能夠負(fù)責(zé)任地行事。特別是考慮到人工智能和機器學(xué)習(xí)的應(yīng)用對我們工作的影響有多快,以及這項技術(shù)的變化有多快,我要求我的團隊必須在新的一年里繼續(xù)保持敏捷。
以安全和隱私為中心的方式成功采用人工智能,將與您在組織中實施的基本數(shù)據(jù)治理和生命周期管理程序有效結(jié)合,從而產(chǎn)生加倍效益。如果你把垃圾放進去,那你得到的也只會是垃圾。因此,在將數(shù)據(jù)提供給人工智能之前,清理數(shù)據(jù)并確保其得到適當(dāng)管理是很重要的。否則,我們最終可能會發(fā)現(xiàn),隱匿式安全(security by obscurity)將不再是一種后備性防御措施。
參考鏈接:
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧