CISO的真正挑戰:密碼管理、IoT安全&合規性
隨著越來越多的公司安排了CISO,在企業責任方面CISO似乎越來越接近其他的高管。不過有些CISO尚不知道如何與其他高管合作,另外一些CISO則仍然在試圖彌合技術和業務之間的溝通鴻溝。
無論在哪種情況下,這個職位還在不斷髮展,CISO面臨著很多挑戰。在2016年RSA大會的小組討論會中,Baxter International醫療裝置網路安全技術主管Pavel Slavin表示,企業通常會優先處理錯誤的事情,而沒有發現他們真正面臨的挑戰。
“我們通常專注於製造安全錯覺的東西——漂亮的報表、圖表和我們成功阻止的威脅,然而,63%的使用者已經丟失了其私人醫療資訊,並且去年我們有兩個輸液泵被攻擊,”Slavin表示,“我們可能過於強調我們的保護力度了。”
SANS研究所新興安全趨勢主管兼該討論小組主持人John Pescatore認為,CISO需要發現其企業面臨的具體網路安全挑戰,並能夠解決這些問題。“CISO的挑戰是根據企業以企業所在的垂直行業、企業資料的價值以及其他因素平衡安全的重要性,”Pescatore稱,“為什麼有些公司沒有遭遇資料洩露事故?那是因為他們有高質量的成熟的安全團隊,並且,他們能夠在企業中引領某些變革。他們還有優秀的CISO,以應對企業、技術以及人員面臨的真正挑戰。”
那麼,CISO面臨的共同挑戰是什麼?下面讓我們來看看這些挑戰:
CISO面臨的真正挑戰
據安全專家表示,有時候資訊保安團隊沒有做好的都是簡單的事情。Herjavec Group執行長兼創始人Robert Herjavec表示,“密碼重置可能是大多數公司會遺漏的最簡單的事情之一。”
RSA大會另一個小組成員是Rich Products公司首席資訊保安官Don Smyczynski,他談到了他最關注的問題:
1.智慧財產權遭竊取。Smyczynski稱:“人們認為資料是他們的,他們可以任意處理資料;我們可以很好地保護流程,但資料仍能夠被複制。這是真正重要的。”
2.工業控制系統。“我們在凍結方面做了很多,而這些冰櫃需要進行適當管理在白天保持足夠低溫,在晚上不會太冷,”Smyczynski表示,“我們非常需要了解相關風險,以及保護所有IP連線的工業控制系統,無論是凍結還是離心機,這關係到生命安全。”
3.物聯網。“工業工程師認為他們知道一切,在他們操作之前,不想等待IT安全來給他們指示;他們想要安全而迅速地工作。”
4.第三方供應商管理。“我們的生產和製造工廠僱傭了很多人員,他們有許可權訪問每個位置;檢視多少人訪問系統是一項艱鉅的任務,有些人甚至已經離開公司,”Smyczynski稱,“考慮到供應商的網路是公司自己網路的擴充套件,供應商網路也應該被考慮進來。你的供應商的安全做法可能最終成為最大的影響因素。”
CISO面臨的其他挑戰包括合規性挑戰。對於新增到企業網路的新裝置或系統,CISO可能需要採取冗長而複雜的步驟來確保企業的合規性。vArmour公司首席資訊保安官(也是Sears online前任首席資訊保安官)Lazarikos表示:“大多數CISO會圍繞合規性來制定預算,將專案與投資關聯在一起。”
例如,如果裝置或機器將被放在監管網路中,那麼,對該裝置的投資應該考慮到以下安全成本:
我必須執行供應商審查
裝置如何進行修復?
誰有許可權訪問該裝置/系統?
該裝置需要何種型別的安全監控?
誰在監控該裝置的安全問題,供應商還是終端使用者?
如果裝置被攻擊,誰將會通知終端使用者以及如何通知?
無論是合規性、IoT安全性還是基本的密碼管理,現在的CISO都面臨著很多挑戰。而且,更重要的是,這些挑戰和技術都在不斷變化,迫使CISO和企業領導團隊不斷髮展並調整自己的安全計劃。
結論
CISO的責任是保護其管轄範圍內的東西,但說起來很容易,事情不止如此。對於不是CISO管轄範圍內的問題該怎麼辦呢?下一部分將會側重這些問題並探討如何解決這些問題。
本文轉自d1net(轉載)
相關文章
- 管理多個專案:專案管理真正的挑戰專案管理
- 密碼管理規範密碼
- 資料庫密碼安全面臨挑戰企業如何面對?資料庫密碼
- oracle密碼安全管理Oracle密碼
- 挑戰常規:全球性別在職場的分析
- 密碼系統的安全性(一)密碼
- 密碼系統的安全性(二)密碼
- 資訊時代,提高自己的密碼安全性密碼
- 漢語拼音密碼安全性密碼
- IOT安全:Logitech Harmony Hub安全性分析Git
- 鴻蒙 Next 社交應用中的安全登入與密碼管理實戰鴻蒙密碼
- 初步學習密碼系統的安全性密碼
- Tech Talk 活動預告丨使用 Amazon IoT Core 構建安全合規的智慧產品
- 密碼學之前後向安全性密碼學
- 聯通光貓管理員密碼分析,不安全的密碼方案密碼
- 如何安全設定和檢測你的密碼安全性?密碼
- 6年技術迭代 阿里全球化出海&合規的挑戰和探索阿里
- 增加SSH無密碼信任連線的安全性密碼
- BYOD革命挑戰企業IT安全
- 生物辨識安全性在受挑戰 駭客打造假手破解
- 遊戲的戰略(二)——選擇性的戰略與落地的挑戰遊戲
- 管理應用程式面臨的挑戰
- 專案管理的十大挑戰專案管理
- 有限成本下,如何應對工作負載規模化帶來的安全挑戰負載
- Guru of the Week 條款08:GotW挑戰篇——異常處理的安全性 (轉)Go
- 物聯網開發者速來圍觀,如何使用亞馬遜 IoT Core 構建安全合規的智慧產品亞馬遜
- 真正的git合併Git
- 內容服務平臺提高 HR 合規性和安全性的 4 種方式
- 曾鳴:區塊鏈真正的挑戰,從共識到信用的巨大跨越區塊鏈
- 安全管理:polardb密碼嘗試登入控制密碼
- 綠盟科技:安全運營中ATT&CK框架的實用性挑戰與應對框架
- PG密碼安全密碼
- 密碼安全加固密碼
- MySQL密碼安全MySql密碼
- 產業安全專家談 | 企業如何進行高效合規的專有云安全管理?產業
- 人,才是強化學習在真實世界中面臨的真正挑戰強化學習
- 如何挑選適合的網路安全培訓班?
- 5G時代網路安全挑戰