中央情报局前CTO:CEO应关注的九大安全关键问题

原创
安全 应用安全
2016年8月5日,以“安全可控·御未来”为主题的2016年首届C3安全峰会暨中国云安全峰会在成都世纪城会展中心盛大开幕。中央情报局前首席技术官Bob Flores先生出席主论坛并进行了演讲。Bob的演讲主题”企业管理层应该关注的9个安全关键问题“,以下是51CTO记者美洁现场进行的快速整理笔记。

【51CTO.com现场报道】2016年8月5日,以“安全可控·御未来”为主题的2016年首届C3安全峰会暨中国云安全峰会在成都世纪城会展中心盛大开幕。中央情报局前首席技术官Bob Flores先生出席主论坛并进行了演讲。

[[169539]]

Bob的演讲主题”企业管理层应该关注的9个安全关键问题“,以下是51CTO记者美洁现场进行的快速整理笔记。

关键问题一:我们的业务、品牌和盈利面临哪些网络威胁?

网络风险是否已经纳入我们当前的风险管理框架?

这种风险得到了老板们的认可。他们会不会问:“这不是CSO要考虑的吗?我们要考虑商业的问题。“

我们采用什么样的框架?是COBIT5、ISO27001还是NIST?

安全框架应该和商业框架一致。

关键问题二:我们是否拥有网络风险保险?

不知道中国怎么样,但美国已经非常重视对网络风险进行保险。、

我们必须知道哪些方面已经纳入、或者不能纳入网络风险保险的范围。

我们要问自己:什么是我们最重要的资产?这一点是否已经体现在我们的网络风险计划中。————我问过很多人,50个人往往有50个答案。换言之,他们对网络风险了解的程度是远远不够的。

关键问题三:我们是否了解供应商和服务提供商带来的风险?

你是否了解合作伙伴的安全控制有多严格?他们是从何处链接我们的网络的?他们是否有权存取我们的数据?如果他们出现了安全违规,我们是否能收到通知?我们的合同中对此是否有规定?

前不久,我们队一个全球金融组织的安全情况进行了实际评估。他们使用第三方公司外包一些业务——他们雇用的都是全球顶尖企业,这个第三方公司处在另外一个国家,他们把数据访问权交给了这个第三方公司。事的检测发现,这个第三方公司并没有做出任何恶意行为,但这个国家的其他组织通过一些手段拿到了这些数据。

关键问题四:如何应对安全违规?

如果你是一个企业管理者,你是否反思过,一旦出现安全问题,我们是否有事件响应(IR)小组?谁应该是小组成员?每个人的职责是什么?

此外,如果出现了安全事件,我们应该在何时、用什么样的方式告知执法单位,还有外部供应商、客户,当然还有媒体界。

在回答这些问题的时候,不同类型的机构和组织可能答案不同。但无论什么单位,都应该提前准备好这些策略和行动计划,这样一旦发生问题,就可以有序地应对。

此外,我们应该多久演练一次计划?如果只是计划却不进行演练,那完全无法达到效果。我的建议是,至少每年都要进行一场演练。一年超过2次其实没有必要。

关键问题五:我们是否了解网络风险管理和合规性之间的差异?

很多机构和组织都有合规性的要求。他们有内部或者外部的团队来评估他们的合规性————他们一般称为审计员。

但是,如果审计人员认为我们合格,我们就真的合格了吗?这是否意味着我们已经安全了?当然不是,合规和安全完全是两回事。

关键问题六:员工是否了解了他们在网络风险管理中的作用?

员工是否定期接受了网络风险培训?他们是否知道什么是网络钓鱼?遇到安全问题时,员工是否知道该通知谁?平均来说,11%的员工在收到网络钓鱼电子邮件时会中招。

那么,我们有没有什么方式或者软件来帮助员工呢?无论是CIO/CSO还是其他管理者,我们都应该及时通过网络风险演练中对员工进行评估。

关键问题七:我们有内部威胁防护计划吗?

我们内部对员工的授权体系建立了吗?哪些用户能接触到核心数据?这些用户是否已经被区别对待——其实目前已经有不少这样的产品可以帮助企业做到这一点。

我们是否知道员工在网络上做了些什么?如果他们犯错了,我们是否能知道?这些只有通过及时的监督才能实现。

关键问题八:我们是否共享有关漏洞、威胁和事件的信息?

我们是否有分享信息的机制,包括合作伙伴、客户,甚至我们的竞争对手?

在美国有一个体系,是政府和企业全方面的信息共享。这件事情无疑是值得提倡的。

关键问题九:我们是否倡导安全文化?

我们必须倡导,让每位员工都了解自己在公司的安全职责。不仅仅是CIO/CSO,每位员工都应该了解公司最贵重的资产是哪些。

我们要问自己,是否有持续的网络风险培训计划?每年培训一次应该是起码的要求——不一定就是要把大家都叫在一起,通过网络培训也往往可以达到目的。

总结起来,Bob特别强调了如下五个问题:

1,网络风险是一个业务问题,任何组织的最高层都应该讨论并设法解决。

2,合规或者合乎框架十分重要,但由于网络安全威胁的快速发展,这并不能环节所有风险。

3,针对组织的攻击,其规模、范围和严重程度很可能在不久的将来升级。

4,内部威胁无论是恶意的还是无意的,都可能给组织带来最大成都的损失。

5,要提升应对网络威胁的能力,企业应该更加重视检测、补救和恢复,而不仅仅是阻止。

51CTO是本次2016年首届C3安全峰会暨中国云安全峰会的独家直播媒体。更多相关信息,请参见直播专题http://netsecurity.51cto.com/act/C3/201607。

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2021-05-07 10:37:11

卡巴斯基恶意软件网络安全

2016-04-26 11:13:04

CIA开源FOSS

2015-03-11 14:19:26

2022-02-14 16:37:19

解密信息泄露情报局

2020-03-04 08:40:34

网络攻击恶意软件网络安全

2014-02-26 17:46:33

2015-03-11 13:17:24

2020-06-17 13:54:02

网络安全数据泄露黑客

2021-05-04 21:14:28

恶意软件黑客网络攻击

2015-10-22 23:12:13

黑客维基解密

2012-04-19 09:37:06

2012-08-27 14:23:50

2013-03-21 12:45:43

2013-06-17 10:41:16

棱镜计划大数据云计算

2017-07-24 10:15:32

2020-07-17 16:29:19

网络攻击网络安全网络战

2012-02-08 10:38:07

2016-09-28 00:38:27

2009-03-26 20:06:21

2012-12-14 09:51:34

亡羊补牢CIA移动安全
点赞
收藏

51CTO技术栈公众号