随着越来越多的公司安排了CISO,在企业责任方面CISO似乎越来越接近其他的高管。不过有些CISO尚不知道如何与其他高管合作,另外一些CISO则仍然在试图弥合技术和业务之间的沟通鸿沟。
无论在哪种情况下,这个职位还在不断发展,CISO面临着很多挑战。在2016年RSA大会的小组讨论会中,Baxter International医疗设备网络安全技术主管Pavel Slavin表示,企业通常会优先处理错误的事情,而没有发现他们真正面临的挑战。
“我们通常专注于制造安全错觉的东西——漂亮的报表、图表和我们成功阻止的威胁,然而,63%的用户已经丢失了其私人医疗信息,并且去年我们有两个输液泵被攻击,”Slavin表示,“我们可能过于强调我们的保护力度了。”
SANS研究所新兴安全趋势主管兼该讨论小组主持人John Pescatore认为,CISO需要发现其企业面临的具体网络安全挑战,并能够解决这些问题。“CISO的挑战是根据企业以企业所在的垂直行业、企业数据的价值以及其他因素平衡安全的重要性,”Pescatore称,“为什么有些公司没有遭遇数据泄露事故?那是因为他们有高质量的成熟的安全团队,并且,他们能够在企业中引领某些变革。他们还有优秀的CISO,以应对企业、技术以及人员面临的真正挑战。”
那么,CISO面临的共同挑战是什么?下面让我们来看看这些挑战:
CISO面临的真正挑战
据安全专家表示,有时候信息安全团队没有做好的都是简单的事情。Herjavec Group首席执行官兼创始人Robert Herjavec表示,“密码重置可能是大多数公司会遗漏的最简单的事情之一。”
RSA大会另一个小组成员是Rich Products公司首席信息安全官Don Smyczynski,他谈到了他最关注的问题:
1.知识产权遭窃取。Smyczynski称:“人们认为数据是他们的,他们可以任意处理数据;我们可以很好地保护流程,但数据仍能够被复制。这是真正重要的。”
2.工业控制系统。“我们在冻结方面做了很多,而这些冰柜需要进行适当管理在白天保持足够低温,在晚上不会太冷,”Smyczynski表示,“我们非常需要了解相关风险,以及保护所有IP连接的工业控制系统,无论是冻结还是离心机,这关系到生命安全。”
3.物联网。“工业工程师认为他们知道一切,在他们操作之前,不想等待IT安全来给他们指示;他们想要安全而迅速地工作。”
4.第三方供应商管理。“我们的生产和制造工厂雇佣了很多人员,他们有权限访问每个位置;查看多少人访问系统是一项艰巨的任务,有些人甚至已经离开公司,”Smyczynski称,“考虑到供应商的网络是公司自己网络的扩展,供应商网络也应该被考虑进来。你的供应商的安全做法可能最终成为最大的影响因素。”
CISO面临的其他挑战包括合规性挑战。对于添加到企业网络的新设备或系统,CISO可能需要采取冗长而复杂的步骤来确保企业的合规性。vArmour公司首席信息安全官(也是Sears online前任首席信息安全官)Lazarikos表示:“大多数CISO会围绕合规性来制定预算,将项目与投资关联在一起。”
例如,如果设备或机器将被放在监管网络中,那么,对该设备的投资应该考虑到以下安全成本:
我必须执行供应商审查
设备如何进行修复?
谁有权限访问该设备/系统?
该设备需要何种类型的安全监控?
谁在监控该设备的安全问题,供应商还是最终用户?
如果设备被攻击,谁将会通知最终用户以及如何通知?
无论是合规性、IoT安全性还是基本的密码管理,现在的CISO都面临着很多挑战。而且,更重要的是,这些挑战和技术都在不断变化,迫使CISO和企业领导团队不断发展并调整自己的安全计划。
结论
CISO的责任是保护其管辖范围内的东西,但说起来很容易,事情不止如此。对于不是CISO管辖范围内的问题该怎么办呢?下一部分将会侧重这些问题并探讨如何解决这些问题。