八位頂級CISO的新年目標與行動計劃
在企業(yè)數(shù)字化轉型的大潮中,面對日益擴大的攻擊面和日益復雜的安全威脅,CISO(首席信息安全官)們將會在2024年面臨更加嚴峻的風險挑戰(zhàn)和能力測試。為了加強防御和應對威脅挑戰(zhàn),8位全球頂級的CISO日前向專業(yè)IT網(wǎng)站DarkReading.com分享了他們的新年目標和關鍵行動計劃,這些目標大多聚焦于如何加強組織安全態(tài)勢的舉措和方法,也再次強調了采取主動措施、增強運營能力和響應能力對實現(xiàn)數(shù)字化轉型發(fā)展的必要性。
1. Justin Dellportas——Syuniverse首席信息安全官
2024年,我最重要的工作就是提高公司網(wǎng)絡安全彈性,這主要包括評估業(yè)務連續(xù)性、災難恢復(BC/DR)和事件響應(IR)計劃等三大方面。我們會努力保持這些計劃的更新,并在適當?shù)臅r間周期進行練習,同時也會密切關注那些基礎性的威脅發(fā)現(xiàn)、預防和響應能力。
2024年,我會要求團隊更加了解數(shù)字化業(yè)務的關鍵產(chǎn)品和流程,能夠快速模擬出潛在的破壞性場景,并確定組織的BC、DR以及IR計劃是否足以緩解相關的網(wǎng)絡安全風險,這一點非常重要。當然,這不是僅僅依靠安全運營團隊就能在“真空中”完成的事情,因此,與業(yè)務部門建立牢固的伙伴關系并與公司管理團隊保持聯(lián)系將是我們取得成功的關鍵。
2024年,我還會嘗試建議公司建立一個跨職能的網(wǎng)絡安全風險管理委員會,這樣可以確保建立可靠的偵查、預防和響應能力及安全流程。在此基礎上,擁有基準配置、集中日志記錄和補丁會進一步幫助我們緩解網(wǎng)絡攻擊的影響。
2. Rinki Sethi——Bill首席信息安全官
在2024年,我希望能夠和公司IT部門一起建立積極主動的協(xié)同關系,從而做出重大的安全改進,包括建立強大的組織網(wǎng)絡安全文化。人工智能和其他新技術正在改變世界各地的組織,而監(jiān)管格局也正在發(fā)生變化,并推動對網(wǎng)絡安全計劃的更多審查。在此背景下,識別人為錯誤、防護社會工程和缺乏網(wǎng)絡衛(wèi)生的風險仍然會是我們日常工作中的優(yōu)先領域,并且隨著人工智能技術成為更流行的攻擊媒介,這一挑戰(zhàn)可能將變得越來越大。
對于威脅行為者使用AI實施攻擊的趨勢,組織必須提高警惕,并對員工進行再培訓,以監(jiān)視和報告任何惡意活動。我對2024年這一領域的可能性和機會感到興奮,因為如果我們做對了,它將改變游戲規(guī)則,有利于更好地阻止威脅行為者。
3. Katie McCullough——Panzura首席信息安全官
在迎接新一年的時候,我們的重點工作計劃不僅是聚焦防御能力的提升,最重要的決議是建立有效的防護機制,以確保在突發(fā)性安全事件出現(xiàn)時實現(xiàn)影響最小化。因此,2024年我們將致力于創(chuàng)建一個更加強大的網(wǎng)絡安全事件響應計劃和恢復策略,以便在攻擊發(fā)生后迅速恢復到業(yè)務正常運營狀態(tài)。我們相信,只要為各種最壞的情況做好提前準備,即使面臨潛在的網(wǎng)絡威脅,組織也可以保持其業(yè)務連續(xù)性和客戶信任。
2024年,我們還有一個關鍵的目標是對潛在的安全風險進行更加全面地識別、評估和處置。當然,要實現(xiàn)這種前瞻性的風險管理方法需要持續(xù)監(jiān)控和評估公司的網(wǎng)絡安全態(tài)勢,以識別潛在的風險。通過及早認知和處理這些風險,我們才可以防止它們演變成嚴重的威脅。
最后,我們還希望能夠提供一種與用戶和業(yè)務部門無縫集成的安全服務。這意味著我們需要設計強大且用戶友好的網(wǎng)絡安全措施,確保安全協(xié)議不會妨礙生產(chǎn)力或用戶體驗。通過實現(xiàn)這種平衡,公司將可以維護一個支持業(yè)務目標的良好安全環(huán)境。
4. Devin Ertel——Menlo Security首席信息安全官
我已經(jīng)要求我的團隊在新年伊始就進行一次徹底的風險評估,找出各種潛在的安全風險和弱點,這樣才可以戰(zhàn)略性地分配安全資源,以解決最緊迫的安全問題。我認為,通過這種主動的安全防護方法,不僅可以確保公司現(xiàn)有的網(wǎng)絡安全策略是深層響應的,而且還能更有效地預測新出現(xiàn)的威脅,為構建企業(yè)網(wǎng)絡彈性提供堅實的基礎。
為了更好地實現(xiàn)2024年的工作目標,我會繼續(xù)說服公司董事會將網(wǎng)絡安全戰(zhàn)略與組織預算相結合,這涉及明智地分配財政資源,以實施強有力的安全措施。對于我們公司而言,在先進安全技術投資和確保安全運營工作可持續(xù)性之間保持一種適當?shù)钠胶馐侵陵P重要的。
5. Joseph Carson——Delinea 首席信息安全官顧問
2024年已經(jīng)到來,我將領導我的團隊繼續(xù)尋找把安全密碼移到工作場所后臺的方法。目前,我們已經(jīng)看到許多組織實現(xiàn)了無密碼訪問,在增強安全性的同時也改善了用戶體驗。我們希望通過把密碼移到后臺,讓企業(yè)的數(shù)字化轉型之旅變得更美好、更安全。
2024年,在新興技術、不斷變化的威脅環(huán)境和監(jiān)管框架的推動下,網(wǎng)絡安全合規(guī)形勢正在發(fā)生重大變化。GDPR和CCPA等隱私法規(guī)為更嚴格的數(shù)據(jù)保護要求奠定了基礎。因此,我們在2024年也將為此趨勢做好準備,提升處理個人數(shù)據(jù)的合規(guī)能力和保護范圍。
6. Gareth linddahl -wise——Ontinue 首席信息安全官
2024年,我最主要的工作任務就是集中精力預測威脅。因為真正的“黑天鵝事件”很少,我們可以通過多種方式預測威脅,包括實戰(zhàn)化的攻擊模擬、實施桌面對抗練習,以及強化檢測、預防和響應事件的能力等。
此外,2024年我的另一項重要工作就是提升自己在公司的影響力,并推動更多的部門的人員參與到網(wǎng)絡安全工作中。網(wǎng)絡安全很多時候是在威脅事件發(fā)生后的考慮和處置。這需要讓我的同事和領導知道如何在常見的業(yè)務場景中管理安全風險,包括收購、新產(chǎn)品或服務發(fā)布、投資、市場進入或縮小規(guī)模。
7. John Bruns——Anomali 首席信息安全官
2024年,我的主要工作重點會側重于三個核心領域:主動性措施、操作性措施和響應性措施。
在主動性措施方面,我們會完成或更新公司的整體成熟度評估,更新風險登記冊(risk register),并在此基礎上建立未來兩到三年的網(wǎng)絡安全建設路線圖。在風險登記冊的更新過程中,我們將嘗試引入緩解和控制措施,從而增強組織抵御網(wǎng)絡攻擊的能力。
在操作性措施方面,我們將會關注安全工具、流程和人員,努力構建更加全面的檢測和響應策略。因此在我們改進操作性的年度工作計劃中,首先就是會繼續(xù)增強我們的日志管理策略,以推動更好的檢測工程。從基本的日志記錄到高級的日志記錄,我們會不斷構建和調整我們的檢測和響應流程,以確保減少事件平均響應時間。
在響應性措施方面,我的重點工作是確保我們擁有“地面軍隊”(boots-on-ground)能力,包括事件響應專家、取證捕獲和分析能力以及恢復處置的能力,主要包括重建系統(tǒng)、補丁管理或棄用受影響的系統(tǒng)。
8. Dana Simberkoff——AvePoint 首席風險隱私和信息安全官
我認為,人工智能時代正在到來,這是人力所不可抗拒的,因此我們必須確保負責任地、安全地利用AI技術。考慮到這一點,我的團隊將會在2024年和公司的IT部門和業(yè)務部門合作,共同開發(fā)和實施生成式人工智能“可接受使用政策”(acceptable-use policies,AUP)。這個政策中會全面包括數(shù)據(jù)隱私和機密性、獲取gen AI以及負責任地使用該技術。
除了制定可接受使用政策外,我們還將對公司的所有員工進行持續(xù)的安全性培訓,以便他們意識到并能夠負責任地行事。特別是考慮到人工智能和機器學習的應用對我們工作的影響有多快,以及這項技術的變化有多快,我要求我的團隊必須在新的一年里繼續(xù)保持敏捷。
以安全和隱私為中心的方式成功采用人工智能,將與您在組織中實施的基本數(shù)據(jù)治理和生命周期管理程序有效結合,從而產(chǎn)生加倍效益。如果你把垃圾放進去,那你得到的也只會是垃圾。因此,在將數(shù)據(jù)提供給人工智能之前,清理數(shù)據(jù)并確保其得到適當管理是很重要的。否則,我們最終可能會發(fā)現(xiàn),隱匿式安全(security by obscurity)將不再是一種后備性防御措施。
參考鏈接:
