大多數人都會有幾個新年計畫, 減肥、鍛煉、多陪陪家人等等, 從企業戰略集團(ESG)的調查研究和網路安全從業者的回饋來看, 安全主管必須更貼近公司業務, 提升員工生產力, 現代化安全技術基礎設施。 以下5點是企業CISO們的新年規劃:
1. 讓網路安全成為企業文化的一部分
ESG/ISSA(資訊系統安全協會)研究表明, 24%的企業, 其業務經理依然不能正確認識/支援網路安全。 2018年, CISO必須扭轉對網路安全的這種無知和漠然。 那麼, 該怎樣扭轉呢?
齊心協力爭取CEO的支持。 與所有業務經理建立經常性聯繫。 以業務經理能理解並據此行動的方式,
2018年, CISO們必須盡力施為。 能推動轉變的人, 就能對公司風險緩解產生個人影響。 推動失敗, 那2019年可能就得另謀高就了。
2. 加大對網路安全人員的時間與資源投入
從ESG/ISSA研究報告《網路安全人員的生活與時代》可以看出, 網路安全團隊任務繁重, 人手不足, 且沒有足夠的培訓以跟上技術革新步伐。 49%的網路安全人員至少每週都有一次換工作的想法, 如果他們沒有得到公平的對待, 留不住人才是必然的結果。
為緩解這些問題, CISO得盡全力保證網路安全人員工作開心, 富有成效,
3. 尋找引入高級威脅預防的機會
提升生產力的方法之一, 就是採用新型高級威脅預防技術, 盡可能地減小攻擊介面。 可採用的技術有:下一代終端安全軟體、微分隔、安全DNS服務、威脅情報網關等等。 高級威脅預防可減小安全噪音, 讓資訊安全人員專注在高優先順序事件上, 為策略規劃和技術發展投入更多時間。
4. 將安全技術導向集成和高級情報
2018年, CISO應專注在安全技術的合理化、整合及鞏固上,
同時, 企業應研究、測試、應用和部署人工智慧安全工具。 ESG研究表明, 通過在現有安全工具中應用機器學習演算法, 比如在終端安全軟體、網路安全分析、威脅情報平臺和資料洩露防護(DLP)中應用, CISO的投資能獲得最大的回報。 人工智慧可幫助企業在不引入新複雜專案的情況下, 提升舊有技術的安全效能。
5. 致力於自動化並編配人工過程
網路安全方面, 能自動化的都應該自動化。 資料收集、可疑檔分析、簡單緩解規則的應用等等, 都可以自動化。 比爾·蓋茨總結了企業應用自動化技術中的兩條規則:“企業所用任何技術的第一條規則是,
換句話說, CISO應評估業務過程, 追求過程改進, 否則就將陷入自動化/編配低效過程的困境, 發揮不出自動化的好處。
最後, CISO應對網路安全採取資產組合管理方式, 找出可通過雲方案或完全外包給MSSP/SaaS安全提供商的方式進行簡化的領域。
CISO三大重點:安全功效、運營效率和業務支持。 上述5個方面的計畫就很貼合這3個重點, 應可幫助CISO享受一個愉快的網路安全新年景。