首席执行官把所有的信任都放在首席安全官身上,让公司远离头版和危险。但随着互联网上的攻击数量激增,这种信任逐渐受到侵蚀,或者至少受到越来越多的质疑。
首席执行官们不希望措手不及,所以他们会问一些尖锐的问题,以确保他们知道正在采取哪些安全防范措施。下面是一个假想的CEO或董事会成员与CISO之间的问答。Lucas Moody, Palo Alto Networks的副总裁和CISO,以及Dottie Schindlinger,勤奋公司的治理技术传道者,提供了这些互动的见解。
首席执行官:为什么我们得到更多钓鱼式攻击吗?我们该如何应对这些钓鱼攻击?
CISO:为了对抗这种威胁,预防是我们最好的防御。预防从技术开始,并且应该包括识别企业凭据的重放的方法。为了支持这一能力,我们还解决了人员和流程问题,通过全面的网络钓鱼模拟和教育,使员工准备成为必要的第一道防线,积极保护组织。
首席执行官:我们应该关注吗ransomware攻击?我的印象是我们的行业没有受到影响——至少从我在新闻中看到的是这样的。
CISO:鉴于网络犯罪分子在勒索软件方面取得的巨大成功,我们预计今年将会看到更多的攻击,涉及从医疗保健到关键基础设施的各个行业,而且这些攻击可能会变得更加复杂。我们有一个全面的备份策略,可以随时应对这些攻击,这些攻击通常在业务环境中呈现,并且对接收方高度个性化。
首席执行官:在连接到我们的公司网络时,物联网设备的安全性如何?我们的策略是什么?
CISO:全球有60多亿联网设备在使用,预计到2020年这个数字将接近210亿。随着这些消费者物联网设备进入办公室并进入公司网络,在我们面对一些真正的威胁之前,我们需要认真主动地解决这一重大漏洞。如你所知,在任何网络安全计划中,人为因素总是最薄弱的环节,所以我们需要开始设置参数,确定哪些设备可以连接到我们的公司网络,以及通过这些设备访问的数据。我们正在利用安全技术,不仅应用程序和产品感知,而且可以支持适当地控制这些设备,使其按照预期的方式工作。
首席执行官:意外地在SaaS应用程序中过度共享公司机密文件正在迅速成为一个问题。我们能做些什么来让大家明白这其中的危险?
CISO:团队的生产力依赖于使用Box、Dropbox和谷歌Drive等SaaS应用,随着这些服务的普及,我们制定了一些策略来最小化数据丢失风险。通过设计,这些应用程序被构建为简化信息共享,这意味着信息安全组织必须配备良好的设备来监视和防止暴露给公司。将劳动力教育与识别风险数据、限制共享和支持对暴露的机密数据的监控相结合是重要的步骤。使用现实生活中的例子来解释在SaaS应用程序中过度共享文件的后果,可以非常有效地帮助我们减轻这一问题,并保护我们自己不推高业务成本或引入可预防的品牌损害。
首席执行官:让我们来谈谈内部风险。这些东西很容易让人做噩梦。我们会不会为此准备得太充分呢?
CISO:我们有一个强大的和建立的风险管理程序,以确定这种风险可能对业务和品牌的最大影响。我们拥有详细描述预期行为的正确策略,并将其与健壮的基于角色的访问控制相结合,从而利用适合于用户角色的数据对用户群体进行细分。同样重要的是,要有适当的技术来检测由强大的用户和角色上下文支持的机密数据访问中的异常情况。最后,当事件发生时,我们拥有配备了正确剧本的正确团队,准备立即采取破坏性行动,这将产生巨大的差异,以减轻影响。
首席执行官:这些天我们听到的都是云,云,云。令人兴奋的消息,但我们如何准备这种转变?
CISO:通过为采用云计算开发安全策略,我们已经为IT的这种转型做好了准备。虽然这并不像制定政策和标准并将其推广到企业那么简单,但我们已经提出了一种多方面的方法。首先,我们已经实现了持续的推动,使众多独特的服务,如计算、存储、分析、消息传递等领域的服务保持最新的相关性。其次,在处理弹性的、可编程的云服务时,解决安全标准缺口的唯一方法是通过自动化。第三,我们已经确定了在云内实现高保真威胁预防的机制。
首席执行官:我们如何防止身份和证书被盗?我们一定能做点什么!
CISO:事实上,并不是所有的组织都有强大的身份验证和验证实践,人们经常跨多个internet属性重用他们的用户名和密码。这就为对手提供了散布凭证收集活动的机会,这样他们就可以积累大量的用户名和密码组合,或用于帐户设置或验证的其他信息。一旦被盗,他们经常在地下论坛上出售这些信息,以威胁那些想要利用被盗数据推进自己努力的行动者。我们已经解决了这个问题,通过精心安排一个由强大的计划和能力组成的生态系统,包括实施多因素身份验证(MFA)用于暴露的应用程序和移动设备,以及利用技术来了解企业凭据何时处于危险之中,比如中断被欺骗网站上的凭据重放。
首席执行官:网络安全是一个复杂的问题,需要有创造性的思维来推动创新,而有限的人才库又加剧了这一问题。我们做了什么来确保我们作为一个公司在网络安全方面建立一个强大的员工管道?
CISO:依赖“已经有了,已经做了”的心态,在已经高度杠杆化的人才库中持续竞争,是一种疏忽。寻找不同的观点和经历——并允许思想多样性蓬勃发展——为伟大的思想家们聚集创造了一个令人惊奇的环境。我们允许思想多样性成为文化的一部分。为了加速我们的网络安全项目,我们已经扩大了可寻的人才库,将其他经验纳入其中,优先考虑那些擅长解决问题、创造力以及影响和理解人的因素的能力。
首席执行官:如今,我们的业务遍布全球,员工遍布世界各地。我意识到这使得安全组织的工作更加困难。我们如何管理这种复杂性?
CISO:最有效的策略是培训所有员工提高警惕,成为预防的第一线。我们正在把在整个组织内分享最佳做法和情报作为一项优先事项,以便让每个人都了解情况并做好准备。我们关注当地的风俗习惯和流程,并格外注意与当地团队密切合作,以找到适合特定地点或情况的最佳解决方案。培训解决方案需要本地化,以确保有效性,我们需要继续招收思想多样化的人才,汇集最优秀的人才,真正解决日益复杂和动态的威胁格局。
首席执行官:我们总是听到更大的威胁和更大的紧迫性。我们如何为我们的组织和我们的客户确保安全?
CISO:关键利益相关者之间的积极参与之前一旦发生事故,将确保该组织能够对现代网络威胁做出快速、有效的反应。最后,当我们说确保安全非常重要时,我们的意思是我们必须以身作则。我们不能做同样的老事情。如果我们自己不做这些事情,我们就不能告诉客户他们需要进入“下一代范式转变”。我们必须首先考虑预防,减少我们自己环境中的攻击面,增强强大的检测和破坏能力,并且我们必须继续创新将安全性自动化到业务中。
首席执行官:我们需要多少网络风险保险来确保我们不会被黑客攻击?
CISO:我们得到的指导是,我们应该在D&O政策中包含网络风险保险,以帮助保护我们在网络安全方面的个人责任。不幸的是,网络风险保险只有在你被黑客攻击后才有意义,它不能免除董事们遵守法律的责任。例如,纽约金融服务部门(2017年3月1日开始)现在要求所有金融服务公司在纽约州的做生意的高级人员或董事证明他们不仅意识到公司的网络安全实践,但董事有责任确保实践和有效执行。
我的工作是确保您和董事会定期了解现有的网络安全项目以及这些项目的有效性。我将确保您知道任何成功的尝试,一旦他们被发现,并提供详细的描述正在采取什么措施来减轻和补救漏洞或泄漏。我还与保险公司合作,以确保保险范围的任何要求都得到满足——比如实施具体的通信实践、教育项目和安全测试。
首席执行官:你在做什么来确保我们没有任何数据泄露?
CISO:数据泄漏其危害可能与黑客攻击和数据泄露不相上下,甚至更严重。我将定期向董事会通报公司网络安全计划的全面进展和危机沟通计划。与此同时,我们的部分努力集中在为董事和高管制定一套沟通政策,该政策应由全体董事会投票实施,并作为新董事入职培训的一部分。更好的是,我还想领导董事会——至少每年一次——通过关于数据泄露的桌面演练,这将有助于董事会对危机沟通计划的工作方式以及他们自己在坚持安全政策方面的能力有一个正面的看法。
这个故事,“CISOs如何回答来自ceo的难题”,最初发表于方案 。