网络安全仍然是所有行业公司的首要任务。原因很清楚。犯罪分子和其他各方可以获得廉价的工具和培训,来攻击公司和政府。的纽约时报报道勒索较早,2015年上升。这种类型的恶意软件加密用户的数据,并要求支付来释放它(或数据将被破坏)。
许多公司正在部署更多的资源来扭转黑客的潮流:谷歌有一个团队10名全职黑客努力消除缺点。考虑到这些威胁,高管和技术领袖们正在要求最佳实践和技术。提高员工的安全意识,增加安全专业人员和装备cio来监控安全仍然是成功的安全管理策略的重要组成部分。
安全测试的下一个浪潮:发送钓鱼邮件给员工
的能力和你的组织的客户的知识和非技术人员也一个得到了最大的网络安全威胁之一。说服人们和失败的保安措施的能力是社会工程的广泛标题下知。社会工程策略 - 特别是网络钓鱼邮件 - 是在核心2011年RSA SecurID的突破口震撼整个世界安全的信心。作为该事件表明,即使是备受推崇的企业和安全技术很容易受到社交工程威胁。公司领导使用几种方法来降低风险。
“在思科,我们有全面的培训项目,解决信息安全问题,”Patrick Harbauer评论道,他是思科系统新PCI DSS服务实践的技术主管。“年度培训和基于计算机的测试是我们实践的一个关键部分,以装备我们的员工技能,以检测和避免网络钓鱼和类似的信息安全威胁,”Harbauer说。
[有关:微软CEO采取合作的方式,以网络安全]
“最近,我们的组织开始通过发送钓鱼邮件来测试我们培训的效果,看看员工是否喜欢。我实际上收到了其中一封测试邮件——据说是关于Amazon Prime的——而且很难检测到!“测试安全培训的有效性正变得越来越重要,因为旧的检测钓鱼邮件的指南——例如,缺少公司标识或糟糕的语法——已经不那么有效了。”哈伯尔表示:“如今,许多钓鱼邮件使用的是直接从公司网站上下载的代码、图像和其他材料,因此看上去是合法的。”
“在洛克希德·马丁公司,我们的安全方案包括监测高危行为的标志。这些标志然后由专门的小组研究。例如,如果员工突然开始记录到凌晨3点,公司网络,他们以前从来没有这样做,这将提高的标志,”意见安吉拉海泽,副总裁,商业市场在洛克希德·马丁公司。“当然,这个人可能已经决定照顾一个年轻的孩子在夜晚后,检查电子邮件,因此判断需要评估这些标志,”她说。
赢得网络安全人才战争战略
优秀的信息安全专业人员仍然是网络安全项目成功的关键。几项就业调查发现,对安全技能的需求仍然很高高调的保安工作年薪可能超过20万美元。根据ISACA的调查,35%的受访组织无法填补安全职位空缺网络安全状况:对2015年的影响调查。
洛克希德·马丁公司(Lockheed Martin)商业市场副总裁安吉拉·海斯(Angela Heise)表示:“网络安全人才争夺战非常激烈。”洛克希德·马丁公司以其军事硬件和航天器闻名,在管理安全威胁和满足军方的高安全要求方面已经建立了良好的声誉。基于这样的声誉,该公司现在为《财富》500强中的许多公司提供安全服务和支持,包括能源公司、金融公司和公用事业公司。
洛克希德公司的安全成功的主要部分归结为企业的人才战略。“当我带来了新的安全分析师为洛克希德,他们有机会通过旋转几组:洛克希德·马丁公司的内部安全部,服务政府客户和工作与我们的商业客户群,”海泽共享。“我们给他们在他们使用的工具,帮助他们发展自己的事业有发言权使我们的保安人员,”她继续说。多样性和跨代合作是另一个机会。“我看到很多企业倾向于更喜欢聘用经验丰富的安全专家。我喜欢不同的办法,其中包括将新的毕业生到谁可以借鉴并利用我们的经验丰富的专业人员共享组织,”海泽说。
CIO的关于网络安全的看法:对于IT领导者的最佳实践
当安全事件发生时,CIO和/或CISO预计将导致溶液。当需要紧急应对安全事故是永远存在的,导致组织已经采取了积极的策略。威胁检测和第三方管理是CIO和IT经理使用关键实践。
PricewaterhouseCoopers (PwC)风险保证数据保护和隐私实践部门的合伙人兼负责人Carolyn Holcomb说:“我们合作的最好的cio和高管使用几种监控策略来应对网络安全风险。”霍尔科姆表示:“在管理供应商和第三方时,最好的方法是要求获得一份SOC2报告,由独立机构对安全、隐私或其他方面进行全面评估。”SOC2是一种内部控制报告的注册会计师该地址的安全性,可用性,完整性处理,保密性和隐私问题美国研究所定义。
“如果SOC2的做法是行不通的,还有其他两个备选方案:使用正确的审计条款在合同中和问卷调查,”霍尔库姆说。审计条款的权利使组织的审计和/或安全专家审查供应商。最便宜和最可靠的方案是将问卷传送给供应商,询问他们的安全实践和技术。问卷方法往往可提供比其它方法是最详细的信息。
作为企业领导者,CIO们有限的时间来管理安全,并导致其他努力。鉴于这一现实的安全资源有限,霍尔库姆建议增强安全性和关注非常重要的资产。“客户数据,合并和收购信息,知识产权和预发布的财务数据经常受到黑客攻击。这是有道理的应用额外的控制和保护这个信息,”她说。
人民和管理保持在IT安全战略的中心
根据IT研究公司Gartner的数据,2015年全球在IT安全服务上的花费将超过700亿美元。这一大笔支出吸引了许多服务提供商的兴趣,这些服务提供商既有IBM这样的新公司,也有初创公司。考虑到承担安全咨询或咨询服务所需要的高度信任,cio在服务方面有广泛的选择。正如洛克希德·马丁公司和思科公司所显示的那样,在整个组织中发展安全技能对有效的安全至关重要。
这篇文章,“洛克希德·马丁,思科和普华永道如何管理网络安全”最初发表于CIO 。