可以肯定地说,今年与往年一样,首席信息安全官仍将面临很多挑战,从劳动力的持续短缺到日益复杂的网络攻击,再到来自民族主义国家的持续威胁。然而,对于如何应对这些挑战,首席信息安全官也有很多想法。
行业媒体为此采访了多个行业领域的首席信息安全官,以下是他们分享和阐述的主要目标和战略议程。
1. 消除盲点
云计算软件开发商Domo公司首席信息安全官兼IT副总裁Suyesh Karki表示,希望消除技术环境中的盲点,因为无法保护看不到的东西。
Karki解释说,“对于我们的安全团队来说,了解云计算应用程序、内部部署应用程序、网络、服务、系统、数据库、帐户、第三方提供商等方面非常重要,以帮助加强网络安全防御。对于所有硬件、软件和供应链资产有一个完整、准确、适当的优先级的清单,使我们的安全团队能够采取系统的方法来了解需要保护的内容、实施哪些控制措施来保护、防御和应对任何不利事件,以及如何识别和生成能够完整说明当前安全状况的指标。”
2. 更好地理解“相互依赖的网络”
软件开发商Zendesk公司首席信息安全官Maarten Van Horenbeeck将在其公司的技术环境中更好地理解“相互依赖的网络”作为2022年的首要目标。
他说,“我想更好地了解这一网格,以便可以采取行动,并知道如何更好地保护它。”
尽管网络的复杂性多年来一直在增长,Van Horenbeeck表示,在过去两年中,发生了SolarWinds和Log4j等网络攻击事件,让他更加重视了解构成企业技术生态系统的所有活动部件的重要性。
为此,Van Horenbeeck对技术进行了投资,以更全面地了解自己公司的IT环境。尽管他承认完全了解供应商代码的可能性不大,但他仍然希望更详细地了解第三方和供应商如何与他的公司互连,以及正在访问哪些数据,以便他的团队可以设计安全策略来限制他们可能带来的风险。
3. 深入了解供应商的IT环境
科技厂商InfluxData公司的首席信息安全官Peter Albert也有类似的想法。他表示,希望了解供应链的完整范围。
他补充说,“很多人认为供应链可能只是与其签订合同的公司,但它远不止于此。”
例如,他想知道第三方使用的代码中存在哪些漏洞,供应商使用哪些开源资源可能会增加风险。Albert表示,为了进一步限制风险,希望对其SaaS供应商实施更多监控,以确保他所在公司的数据在供应商的IT环境中的运营安全。
他解释说:“我认为,人们对第三方提供商可能会监控用户的数据存在根本性的误解,但我们发现事实并非如此。因此,我们必须承担部分责任,这意味着从这些提供商那里收集有关谁在访问数据的见解。”
Albert表示,InfluxData公司的一名员工构建了一个用于获取SaaS提供商安全日志的原型,而其他员工正在构建模型以检测可能表明安全威胁的异常情况。
4. 将平凡的事情做得最好
咨询机构Booz Allen Hamilton公司首席信息安全官Ashley Devoto表示,希望在寻求加强整体网络弹性的过程中,始终专注于基本面。
更具体地说,她想确保有一个强大的应用程序来快速识别和修复漏洞;有效实施补丁的良好流程;良好的员工意识和培训;以及整个IT环境的全面可见性。
她始终信奉这一商业格言,“成功就是将平凡的事情做得最好。”她说,“这句格言引起了我的共鸣。”
她说,“黑客将继续进行网络攻击,因此我们必须坚持不懈进行斗争。通过精通安全知识,我们将提高速度和敏捷性以应对网络攻击。”
此外,Devoto计划制定指标和关键绩效指标,以衡量她带领的安全团队在处理这些基本问题上的效率和改进。
联合国项目事务署(UNOPS)的首席信息安全官兼数据隐私官Niel Harper也阐述了今年的决议,并详细介绍了将如何实现这一目标。
他希望将更多的精力和资源集中在隐私和数据上;完善和加强第三方风险管理的控制框架;提高其企业对勒索软件的保护;并继续向其他商业领袖宣传电子邮件安全的重要性。
5. 将安全性进一步左移
为了帮助确保她和她的团队正确掌握安全知识,Devoto计划更早地将安全要求嵌入到规划和开发流程中。她说,“我正在优先扩展我们的预防控制和能力套件,因为我们在‘上游’战斗以阻止网络攻击。”
有着在2022年将安全性进一步左移这样的想法并不只有她一个人。软件开发商Dynatrace公司发布的“2021年全球首席信息安全官”报告指出,在接受调查的700名首席信息安全官中,89%的受访者表示微服务、容器和Kubernetes造成了应用程序安全盲点,71%的人表示不完全相信代码在上线运营之前是没有漏洞的。此外,85%的受访者表示,他们认为应用程序和DevOps团队必须对漏洞管理承担更多责任,以有效保护企业。
6. 开始摆脱对密码的依赖
网络安全智囊团CIBR公司首席信息安全官Grant Gibson表示,希望他的公司在今年进一步远离使用密码进行访问,或者至少远离使用密码作为主要身份验证形式。
他认为此举是提高安全性的关键举措。
他说:“我们处理密码已有40年的时间,但一致认为采用密码也会被黑客入侵。”
他说,这是意料之中的事情,很多人仍然对多个帐户使用相同的密码,他们会选择简单的密码以确保能记住,并且当系统需要复杂密码时,他们会将密码写在纸上或存储在电子文件中——尽管经常有针对这种做法的警告。
他还指出,最近备受关注的网络攻击涉及密码泄露。
Gibson表示,他正在努力实施更强大的身份和访问管理(IAM)控制,这些控制更易于使用,但对企业来说更加安全。他承认,并没有适合所有企业的一种万能的解决方案。
目前,他正在自己的公司内部实施多因素身份验证,因此密码不是验证用户身份的唯一方法,他正在探索未来如何彻底消除密码。
他说,“我们的目标是实现无密码。而在短期内,这意味着密码不能成为唯一的身份验证形式。但从长远来看,其目标是完全无密码。”
7. 提高敏捷性
万通银行企业网络安全主管Ariel Weintraub表示,今年的决议是“更加灵活”。
她说,“网络安全计划在表现出弹性时最为成功。过去几年的网络攻击表明,网络攻击者不断发展他们的策略,具有弹性的能力是基于快速调整优先事项的能力。”
她解释说:“我们正在转向利用日常威胁和脆弱性评估能力进行持续评估,使我们能够识别、衡量和应对新出现的威胁和风险。这意味着不必害怕暂停或终止某些计划,并根据最新的技术和措施转向新的计划。不必害怕勒索软件会破坏他们的整个基础设施。我们将在交付新功能的方式上保持灵活性,以使其不受影响。这样就无需花费数年时间来应对新的威胁,而当一个项目不再相关时停止,并不是一种失败。”
8. 与企业建立更好的合作伙伴关系
加强安全部门与企业的合作是Van Horenbeeck今年的另一项决议。他说,“我们已经这样做了一段时间,今年它真正成为我们内部的首要任务。”他解释说,加强安全性与业务的一致性将有助于各个团队推进他们的目标。
Van Horenbeeck表示,包括他自己在内的许多安全部门已经非常擅长识别和解决企业内部的顶级风险。不过,这不会影响日常工作习惯和业务流程,这些习惯和业务流程通常会引入较低级别的安全风险,并阻碍建立具有安全意识的企业文化的努力。
与企业建立更强大的合作伙伴关系将有助于安全识别产生风险的工作流程,它还将帮助安全部门了解他们的业务同事为何重视这些流程。这种结合以及由伙伴关系培育更好的关系,应该有助于安全和业务共同寻找成功的解决方案。
Van Horenbeeck说。“这实际上是更多地关注我们的合作伙伴要去哪里,而不是告诉他们该做什么。”
9. 照顾好团队
UST公司首席信息安全官Tony Velleca表示,今年将更加关注他们的团队和员工。
Velleca表示,根据软件开发商1Password公司于2021年12月进行的访问状态研究,约84%的安全专业人员表示感到筋疲力尽。
Velleca说,随着新冠疫情引发的不确定性和破坏性的持续,他正在寻找不仅留住人才,而且激励人才的方法。
与许多其他公司一样,Velleca表示,该公司的员工大多在现场工作,而近两年由于疫情而转为远程工作。
Velleca说,该公司计划让员工重返办公室,当然可以选择远程工作,他希望此举将有助于重新激发员工的活力。
他还计划将重点放在创新项目上,以提高员工的兴奋度,并将部署更多自动化设备,将员工从重复性任务转移到更具吸引力的更高级别任务。
10. 招募新人才
MongoDB公司首席信息安全官Lena Smart希望帮助解决安全方面的人才短缺问题,并决定在2022年招聘安全方面的人才。
Smart说,“我计划继续在指导和支持外部信息安全社区方面发挥积极作用。”
她说:“作为首席信息安全官,我经常从同事那里听到招募人才的难度。虽然填补信息安全职位肯定竞争激烈,但我们已经看到,从找到具有正确特征的人员并帮助他们了解技术细节的过程中,我们取得了真正积极的成果。”
11. 清除多余工具和功能
Oracle公司客户服务副总裁兼首席信息安全官Brennan P.Baybeck表示,计划清理没有提供价值的多余工具和投资,并确定未充分利用的功能。
他说,“我认为现在是盘点的好时机,看看我们有什么可用的工具,在疫情发生之前我们有什么资源,积累的东西或冗余的功能,并消除那些不符合规定的流程和技术战略。”
Baybeck表示,他计划不仅在安全运营中采用这种方法,而且还与他的员工一起采用这种方法。他已经看到员工所需的技能发生了变化。因此,他正在花时间重新评估职位,以确定哪些专业人士需要哪些新技能以及哪些角色需要发展。例如,他决定将一些以合规性为重点的空缺职位转变为专注于提供更多自动化、控制和开发安全工作的工程和开发人员工作,而所有这些都比合规性的工作职位更能满足企业当前和未来的安全需求。
12. 为未来做好准备
Tiro Security公司首席信息安全官兼首席技术官Jenai Marinkovic也展望了未来,她表示,2022年的主要职业目标是让安全人员为未来世界做好准备。
她认为需要解决三个主要问题。
首先,她想让安全人员准备好工作并参与智能生态系统(例如元宇宙)并保护它们。这意味着了解如何在这个新世界中互动、交流和呈现;这也意味着了解技术和使用它的人员是如何运作的,以便可以预测和解决安全问题。
其次,她希望帮助员工擅长沟通和协作,作为团队的一部分工作,以及理解以用户为中心的设计。
第三,她希望安全专业人员更加关注业务连续性,以便能够分解业务流程和支持它们的系统,因为真正擅长这些将是应对网络攻击事件的关键。
Marinkovic已经开始在这三个广泛的需求领域内培训团队,通过Tiro Security公司提供虚拟首席信息安全官服务。GRCIE公司是一家非营利公司,为美国各地的女性和退伍军人提供指导和心理支持。
她补充说,“我们的目标是让员工为即将到来的未来做好准备。”