每个IT领导者都必须进行的7次艰难的IT安全讨论

简介: 每个IT领导者都必须进行的7次艰难的IT安全讨论

本文来自 企业网D1net公众号

安全是每个IT领导者心中重要的问题,因此IT领导者需要与同事和业务合作伙伴讨论最新的威胁和响应策略,他们可以分享有用的、可操作的见解。

谈论可能很方便,但在IT安全方面,与同事、业务合作伙伴和其他相关方进行战略对话的价值可能是不可估量的。


技术研究和咨询公司ISG网络安全部门联席主管罗杰·阿尔布雷希特表示,通过持续的讨论解决网络安全问题的价值在于,让企业在有效和稳健的战略上保持一致。


“这样的讨论确保将网络安全倡议和资源需求整合到企业的业务目标中。”他补充道。这些讨论解决了不断变化的监管和合规问题,并揭示了风险缓解方面的漏洞和威胁。


Albrecht说,正在进行的IT安全战略对话应该降低企业的网络风险,并实现战略目标。“这样的对话,应该以明确的行动、好处、时间表以及弥补差距所需的预算和资源来结束。


对于希望建立更强大的网络安全战略的IT领导者来说,以下7个问题是你应该与高管同事、业务合作伙伴和IT员工进行深入网络安全战略对话的关键提示。


1.我们的系统是否在安全方面有足够的现代化?


谷歌云CISO Phil Venables表示,企业应该讨论如何对其技术基础设施进行现代化改造,以支持内置安全而不是简单地连接的体系结构。


遗留系统通常存在固有缺陷,因为它们的设计不像更现代的体系结构——通常是公有云或私有云——那样具有防御性。Venables观察到,在过去10年中,有许多案例表明,企业在网络安全产品上进行了大量投资,但尚未升级其整体IT基础设施或实现软件开发方法的现代化。


“这相当于在沙子上盖房子。”他说。如果不继续关注和投资于IT现代化,企业将无法充分实现安全进步的好处,从而使其企业容易受到恶意活动的攻击。


Venables建议,现代化对话应在董事会会议室、高管领导层会议和业务部门特定战略会议中举行。


“归根结底,只要在正确的利益相关者之间进行讨论,并启动路线图,企业就会为成功做好准备。”他说。


2.我们是否在应对网络场景时达到了我们应该达到的程度?


管理咨询公司艾斯纳咨询集团(Eisner Consulting Group)合伙人兼外包IT服务主管拉胡尔·马纳(Rahul Mahna)认为,与团队和管理同事一起玩情景游戏可以刺激有用的安全洞察。


例如,如果一个关键客户的业务因网络攻击而关闭,会发生什么?下一步会是什么?“这种类型的事件响应计划在我们的客户对话中非常有价值,”Mahna解释说。他建议,这样的安全战略对话不应该是偶尔的、一次性的讨论,而应该是一系列持续的、定期的对话。


除了定期对话,Mahna建议每年举行一次以安全为重点的会议,并结合事件响应计划测试,使主要高管和经理了解不断发展的政策、实践和角色的最新情况。


Mahna建议说,计划在网络攻击发生时应该做什么是一项极其宝贵的资产,应该在运行手册中进行实质性的限定和量化。“这本书应该被共享,并提供给指定的安全团队成员,以提供一条途径,以便在发生安全漏洞时,能够成功地执行经过深思熟虑的应对计划。”


3.我们是否培养了一种安全文化?


亚马逊网络服务全球安全合作伙伴主管瑞安·奥尔西(Ryan Orsi)表示,领导者为他们企业的IT安全战略定下了基调。在一种安全文化中,每个员工都感觉自己有权在经过批准的安全护栏内快速移动,从而带来更快的创新周期、更快的业务成果以及更高的最终客户满意度。


Orsi说,激励个人在定义明确的安全护栏内创新和快速行动的企业是最有效的。如果你觉得你的企业在发布应用程序更新、网站更新和数据库更改等项目之前打开票证请求安全团队批准,那么你可能就没有在安全文化中运营。“通过将安全文化融入整个领导层,你很可能会感受到不同。”


4.我们对新出现的威胁评估是否真的是最新的?


网络罪犯从不睡觉;他们总是放纵和腐败。商业管理咨询公司摩根·富兰克林咨询公司的高级经理格里芬·阿什金建议:“在IT安全战略方面,必须就网络威胁的新性质进行非常直接的对话。”


阿什金警告说,最近的经验表明,网络罪犯现在正在超越勒索软件,进入网络勒索。他们威胁要向外界公布企业员工的个人身份信息(PII),使员工面临身份被盗的巨大风险。


阿什金认为,安全领导者应该努力重新部署尽可能多的本地基础设施资源,从而将网络保护责任转移到云提供商身上。此外,定期安排的管理层对话应导致关键决策,例如对增强的安全工具的潜在投资、更新的安全意识培训材料、与最终用户的更多沟通以提高对最新安全威胁的认识,以及应对和降低员工风险所需的任何其他相关步骤。


5.我们是否制定了真正有效的事件响应计划?


网络安全公司Camelot Secure的解决方案工程总监扎卡里·福克(Zachary Folk)建议,每个企业都需要举行一次聚焦于事件响应的对话。


Folk说,规划至关重要。讨论应包括企业的执行人员,包括CIO、CISO、CTO、事故应对小组协调员和所有部门负责人。他建议,这些会议和对话应该导致制定或更新事件应对计划。讨论还应审查关键任务资产和优先事项,评估攻击的可能影响,并确定最有可能的攻击威胁。


Folk说,通过将企业的风险管理方法从基于矩阵的测量(高、中或低)改为量化的风险降低,你可以根据需要将实际的潜在影响建立在尽可能多的变量上。通过使用简单的蒙特卡罗模拟和从你的企业收集的数据,你可以为高级员工提供实际的损失、潜在发生和影响的概率。


6.我们的安全投资是否实现了最大投资回报?


IT资产可见性和网络安全公司Sevco的CSO布莱恩·康托斯表示,是时候停止逃避安全ROI对话了。他指出,企业在CMDB、SIEM、SOAR、EDR、漏洞管理和相关解决方案方面投入了大量资金。


“为了实现这些解决方案的价值,企业需要确保流入它们的信息(如资产情报)是及时、准确和经过重复数据消除的,”他说。企业级安全解决方案中强大的资产智能不仅能帮助你更好地降低风险,还能提高这些投资的投资回报率。


Contos说,ROI对话应该会导致安全、IT运营和GRC(治理、风险和合规性)团队更好地了解他们的环境。它应该专注于所有好的和不好的东西,同时确定需要最快速改进的领域。然后,可以将优先行动分配给适当的团队,以处理许可、流程改进、漏洞查找、安全控制可见性和监管要求等主题。


“最终,当利用资产情报来丰富专注于安全、IT运营和GRC的现有工具的有效性时,应将降低风险和最大化ROI结合起来。”他建议说。


7.我们的财务风险究竟有多大?


也许最关键的IT安全战略对话集中于回答一个问题:“如果我们的IT系统出现故障,我们的客户将面临什么经济损失?”


这些讨论的目标应该是建立一个安全、健壮和有弹性的IT环境,一个客户可以确保保持正常运行的环境,允许产品和服务不间断地交付,托管服务和IT战略公司Blue Mantis的现场CISO罗布·菲茨杰拉德说。


菲茨杰拉德建议,这种对话应该不少于每年一次,最好是在预算季节之前进行,这样CIO和CISO就可以相应地制定计划。他说,如果发生任何影响业务的重大事件,也需要在这些时间段进行对话。例如,如果一个企业打算出售一个部门或收购另一个企业,CIO和CFO有信托义务重新评估客户在企业的IT系统不可用时将面临的财务损失。


相关文章
|
5月前
|
人工智能 测试技术
2024年成长为IT领导者的15种方式
2024年成长为IT领导者的15种方式
|
5月前
|
人工智能 供应链
IT领导者如何在业务中讲好故事
IT领导者如何在业务中讲好故事
|
6月前
|
程序员 项目管理 开发工具
从程序员到技术领导者:我的成长之路
【2月更文挑战第4天】作为一名从业多年的程序员,我一直在探索如何更好地提升自己的技能水平。然而,随着时间的推移,我逐渐开始意识到,技术领导者不仅需要拥有扎实的技术功底,还需要具备良好的沟通、管理和领导能力。在这篇文章中,我将分享我从程序员到技术领导者的成长之路,以及我所学到的一些经验和教训。
54 1
|
安全 架构师 项目管理
快速成长的秘诀|自我成长的方法有哪些?
快速成长总共三篇,分别是《完成自我升级》、《自我成长的方法》、《学会自我培养或培养他人》。本文为第二篇,会从9个维度分享自我成长。
2171 66
|
SQL
工作中的成长是从摆脱低水平勤奋开始的吗?
成长的本质是自我革新,成长就是在不断变化中的积极面。深度思考、目标设定、自律实践、持续学习、总结反思等步骤可以帮助我们成长,同时也需要避免陷入低水平勤奋的陷阱,不要忙于行动而忽视了反思和学习。
145 1
|
存储 程序员 项目管理
六年团队Leader实战秘诀|程序员最重要的八种软技能
笔者在带团队的六年中发现,程序员们在职场都有一个共同的困扰:“好像写代码都没什么问题了,日常工作基本上都是应付业务需求的开发,好像找不到其他的更大的附加价值了,我应该找一些什么样的发力点才能让我的价值更突出呢?” 。本文将和大家聊聊程序员的软技能。
六年团队Leader实战秘诀|程序员最重要的八种软技能
|
设计模式 前端开发 算法
2020年总结,所有努力只为一份期待
2020年总结,所有努力只为一份期待
710 2
2020年总结,所有努力只为一份期待
WM
|
存储 canal 开发框架
我所经历的创业公司是如何做技术的?--《我与开源的故事》
人类的文明得以快速发展,很重要的一点在于我们可以站在巨人的肩膀上继续探索。而开源世界之于互联网行业来说就是这个巨人之一, 本文将重点阐述作者本人所了解的开源世界,以及如何通过开源项目做出有效个工作产出。
WM
9082 0
我所经历的创业公司是如何做技术的?--《我与开源的故事》
|
敏捷开发 前端开发 架构师
程序员自我发展之路:从态度到方法
程序员自我发展之路:从态度到方法
138 0
程序员自我发展之路:从态度到方法
做好危机复盘,调战略、练组织、观自我 | 首席增长官·大咖说第三期
只有在危机、在极端情况下,企业的商业模式、战略节奏、战略方向、组织架构、领导梯队的素养,才能得到放大式的体现。这个放大式的体现会让我们发现很多新的人才、也可能会曝露很多问题。所以复盘不只是对过去做一个回望的总结,更多是为了更加明确自己前行的方向。我今天会和大家一起分享下我们复盘到底要复什么,从哪些角度来复盘。 以下分享来自于湖畔大学内容总监魏一平在阿里云研究中心首席增长官内容平台的直播分享整理。完整版请扫码入群收看。
986 0
做好危机复盘,调战略、练组织、观自我 | 首席增长官·大咖说第三期