我的信息安全专家们,你们最近发言了,ISACA在听. 现在是时候让所有这些商业澳门赌场官方下载和其他组织也倾听了. 你说什么??
根据ISACA的第二部分 2019年网络安全状况报告:
- 向首席信息安全官报告的安全团队对他们的工作有最高的信心.
- 网络钓鱼, 恶意软件和社会工程仍然是威胁参与者产生结果的前三大攻击向量.
- 网络犯罪被低估了,即使这意味着无视监管义务.
作为信息安全专业人士,我们大多数人似乎已经知道如何提高安全性. 核心问题似乎是如何将这一信息传达给高管和股东. 出了什么问题?? 更重要的是,我们如何修复它?
1)需要CISO(不向CIO报告).
多年来,我一直在谈论这个话题. 让安全功能向CIO报告是一个明显的利益冲突. 这与让财务审计师向他们正在检查的财务职能部门报告是一样的.
有一个首席信息安全官向技术部门汇报,意味着组织没有意识到网络安全不仅仅是技术,而是人, 流程和信息, 当它成为每个组织战略的核心时,它是最成功的.
但最糟糕的是根本没有首席信息安全官. 当我在媒体上评论数据泄露时, 我研究的第一件事是受害组织是否有首席信息安全官,以及他或她向谁报告.
2)修复基础.
尽管我们都喜欢谈论零日漏洞, 那些没人见过的东西, 这可能没有防御——事实是,这些还没有对网络犯罪分子造成任何重大打击.
你们中的一些人可能会认为“NotPetya”使用了一个零日漏洞——但当然,它所使用的策略已经被知道了一段时间,因此不再被认为是零日漏洞.
我检查和研究了相当多的数据泄露事件,它们都以同样的可预见的结果告终——有三个或更多的关键或主要的安全控制措施没有实施或没有有效地运行.
我们可能只能尽量减少网络钓鱼等事件的影响, 但考虑到我们知道这是真的, 如今,没有人应该拥有唯一的权力来完成对澳门赌场官方下载造成毁灭性后果的行动. 然而,从我的审计经验来看,这种情况仍然存在.
修复安全基础可能并不复杂,但它确实需要相当大的预算, 资源和理念的改变是通过设计来选择安全性,而不是将安全性作为一种可以添加到甜甜圈中的撒料!
3)远离那些隐藏漏洞的组织.
你见过组织否认吗? 我有. 事实上,当谈到检查网络安全时,我看到大多数公司都这样做.
问问任何一个刚刚遭受毁灭性网络攻击的组织,他们在安全方面是否做得足够好, 如果问题是由于一些可以原谅的异常, 答案是一个普遍的“是的”.”
但正如我们所知,事实并非如此.
一个组织的安全缺陷就越容易受到关注, 更不可信的是,这些问题是由真正聪明的网络罪犯造成的.
所有组织都希望声明他们正在认真对待安全问题. 他们想让自己看起来好像在做正确的事情,但他们的行动却可能会告诉我们一个不同的故事.
如果你被困在一家隐藏风险、不报告违规行为的公司里,你该怎么办? 唉, 我只能告诉你,在过去, 我一直认为这是我应该继续前进的信号.
If enough of us only agreed to work in places with the right approach to security – where they had a CISO sitting on the C-suite; where security was adequately resourced and embedded by design; and where they reported all the cybercrime – I would hope that security would improve considerably.
然而, 如果你看过网络招聘广告, 或者在信息安全会议上与同行交谈, 你已经知道了, 目前, 这些地方很少存在.
