首页 > 信息安全 > 正文

首席信息安全官:企业新年安全战略建议

2011-02-18 14:39:36  来源:it168网站原创

摘要:大多数首席信息安全官几乎都困扰于相同的问题,从处理不断编号的威胁环境到适当支持不断增加的社交网络技术,员工的移动设备和云服务等。事实上,Forrester公司的研究显示,安全专......
关键词: 安全战略 CSO
   大多数首席信息安全官几乎都困扰于相同的问题,从处理不断编号的威胁环境到适当支持不断增加的社交网络技术,员工的移动设备和云服务等。事实上,Forrester公司的研究显示,安全专家面临的大多数安全挑战都是与企业方针以及路线相关的。例如,很多高级企业和IT领导要求首席信息安全官能够更好地支持和配合业务以及IT目标,这要求安全团队的定期交流和学习。

  根据安全领导人在新年的困扰和关注领域,Forrester公司为大家提供了一些应对新年安全趋势的安全战略建议,建议主要氛围三个主要议题:1)更好的管理结构;2)更成熟的安全程序;3)提高分析和报告能力。

  

\

 

  首席信息安全官:企业新年安全战略建议

  制定管理战略

  社交网络、移动电话和云技术呼啸而来,为创新和业务转型推波助澜。安全已经不再能够阻止或者抑制这种局面的发展,安全专家是时候降低这些技术带来的相关风险到企业业务可以接受的程度,这意味着安全领导需要这样做:

  为社交网络技术部署做好准备 正如某位首席信息安全官所说,社交媒体就像海啸般呼啸而来,如果我们不做好准备,我们将损失惨重。Forrester调查显示,每天访问社交网站的用户出现急剧增长,从2008年的11%增长到2010年的30%。社交媒体技术增加了恶意软件感染以及数据泄漏的风险(包括有意和无意的)。社交网络政策将会出现很大的变化,但是企业除了部署技术控制、程序检查和提高用户意识外,还应该部署管理战略和具体政策来减轻这种风险。

  帮助企业制定战略来利用云服务 云计算已经势在必行,所有安全领导需要提高关于数据安全和监管风险的关注,他们也应该试图缓解数据泄漏或者数据事故的风险。

  积极支持后PC时代的移动性 随着电子阅读器、智能手机、笔记本和上网本等设备的普及,安全和风险专家必须部署控制战略来控制这个日益混乱的环境,同时保持员工的灵活度和创新。

  改善现有程序以加强数据保护能力

  2011年,首先信息安全官面对的主要议题就是理解和衡量企业流程的成熟度。随着威胁类型的改变,很多安全专家发现现有程序完全不够或者低效率。很多首席信息安全官正在试图开发更具连贯性和严谨性的监管合规要求以及遵守NIST、ITIL和ISO 27001等标准。虽然更高的成熟度需要所有安全程序的改善,以下是特别需要改善的:

  整合工具和流程-从被动到主动 一位安全系统集成商表示他们95%的客户都会选择部署IPS而不是IDS,虽然这种说法并不令人惊讶,却显示了这样一种趋势:安全专家越来越多地意识到一盎司的防御部署可以换来一磅的安全保护效果。企业开始从盲目地部署被动技术转为部署主动防御程序和技术,或者在现有技术中启用主动防御功能。

  从身份管理到信息和访问管理 随着企业开始侧重于保护数据安全,安全专家需要认识到这不只是管理身份的问题,并且访问控制和信息管理也是数据安全的关键因素。对用户帐号、访问权限和特权的适当的控制和管理是确保数据不被窃取出企业大门的最有效方法之一。

  从无效事件规划到健全的事故响应 制定全面且行之有效的数据泄漏响应计划会帮助企业大大降低数据泄漏事故的影响度。并且随着威胁复杂度和针对性增加,以及频率越来越大,这迟早都会成为需要处理的安全事故。安全专家需要为此做好准备。

  为改善能见度、指标和决策建立分析能力

  很多首席信息安全官承认,从大量数据流中寻找相关信息就像大海捞针一样。首席信息安全官需要确指标和报告能力重点侧重于决策的三个层次:操作、风险和以业务为中心,并且每个层次需要不同类型的数据来完成他们的工作,一旦安全专家开始衡量他们自己的环境,最好参照行业基准进行比较:

  利用相关信息告知业主,以作出正确决策 避免像很多其他企业一样不使用任何类型的正式风险管理原则来客观地鉴别、分析和评估风险,这将帮助降低任何错误评估或者夸大风险。请记住,列举业务的风险是首席信息安全官的工作,但是最终是决策者来决定可接受的风险水平。

  使用业务和财务数据来显示安全的价值 值得注意的是,C级执行人员和董事会成员很可能并不关心安全团队的运营指标,他们更关注企业的整体风险态势。事实上,很多企业认识到一些安全投资并没有真正的投资回报,所以他们试图寻找成熟度模型和风险标准来理解成本投资如何改变风险态势。

  通过验证和相关性来加强操作和衡量 部署安全技术并不是困难的部分,确保持续连贯运作要困难得多。有一家公司将其大部分警报和事件发送到其SIEM工具,但仍然受到了攻击,原因在于SIEM的某条规则被错误配置。该工具甚至没有察觉黑客的攻击活动。很多首席信息安全官抱怨他们需要处理和筛选相当庞大的数据,并且他们依赖于SIEM工具的相关性功能。但是,如果你不测试和验证这些控制,即使是世界上最好的安全技术,也是无法抵挡黑客的攻击。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:lyfzlj

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。