编者按: 特蕾莎佩顿, 前白宫首席信息官和著名的网络安全专家, 将在开幕式上发表主题演讲 ISACA北美信息安全博览会及会议,将于2019年11月20日至21日在纽约市举行. 佩顿最近接受了ISACA Now的采访,回顾了她在白宫的时光,并分析了她离开白宫后,技术和网络安全领域的发展情况. 以下是采访实录,为篇幅和清晰度进行了编辑.
ISACA Now:作为白宫的首席信息官,你有哪些方面是很怀念的? 会是什么呢??
在白宫工作真的是我从未有过的经历——它令人兴奋,而且不断变化. 工作的性质是一回事, 但是当你考虑到在我任职期间科技的快速发展, 它使支持白宫的使命变得令人兴奋和具有挑战性, 退一步说! 我喜欢那种节奏和那种使命,我仍然怀念它. 我也想念与我一起工作的有才华的员工,他们中的许多人至今仍在工作.
ISACA Now:如果你现在开始担任白宫首席信息官,与2006年相比会有什么不同, 从技术的角度来看?
从2006年到2008年,我在白宫担任首席信息官, 就在社交媒体革命开始的时候, 物联网设备, 以及2007年发布的首款iPhone. 在集成数字转换的同时仍然保持高水平的运营稳定性,这是一个美妙的时代, 弹性, 和安全. 我们为今天的网络安全奠定了基础.
此外, 自从技术出现以来,网络犯罪分子就一直很活跃, 如今网络罪犯的普遍性和创造性与以往不同. 只要有一台笔记本电脑和20美元,任何人都可以在暗网上买到勒索软件工具包, 因此,获取恶意工具并学习如何使用它们从未如此容易. 2019年及以后的攻击将由民族国家发起,也将由犯罪集团和黑客组织发起. 过去2016年至2018年的袭击为我们敲响了警钟. 10月21日,美国和欧盟部分地区的互联网速度放缓和广泛不可用, 2016年因DDoS攻击云服务主机提供商, 直流发电机, 提醒我们所依赖的互联网基础设施的脆弱性.
从国家安全和经济安全的角度来看,越来越多的民族国家拥有更先进的网络安全能力,这一令人不安的趋势继续威胁着全球的不稳定. 然而, 相对简单的威胁行为者在网络领域取得成功的能力也在增强. 原因是双重的. 第一个, 在公共领域,自动化黑客工具的可用性越来越高,这为拥有基本技能的个人或个人团体提供了能力, 或者仅仅是通过经济手段来买进去, 获得成功. 第二个, 弹性计算基础设施的可用性不断提高,使攻击者能够轻松地设计和部署相对复杂的攻击基础设施.
ISACA Now:成功的事件响应最重要的组成部分是什么?
在考虑对网络事件的事件响应时,最重要的事情是在事情发生之前进行预先规划. 如果没有适当的准备,你的公司可能会在几天或几周内完全无法运作. 确保你有正确的备份来恢复你的系统,并确保所有员工都知道正确的协议和命令链,这将使本已紧张的情况变得更好. 为正确的时间存储日志并捕获正确的信息元素对于确定谁攻击了您至关重要, 他们是怎么进来的, 如果他们还在的话, 以及这一事件将对贵公司的运营和声誉造成多大的灾难性影响. 数字取证也很重要,因为您可以查看日志和事实,以防止发生另一次攻击.
现实情况是,澳门赌场官方下载高管不可能在这个问题上超支——这是一个“如果”而不是“何时”的问题——他们必须做好准备. 网络安全不再是可以存在于真空中的东西. 它必须被提升到董事会级别,并在谈判桌上占有一席之地. 如果澳门赌场官方下载对网络漏洞处理不当,可能会面临极端的反弹和品牌声誉问题. 相反,处理好漏洞的公司不仅可以反弹,还可以增长.
ISACA Now:隐私是您感兴趣的另一个主要领域. 你是否感觉到GDPR和其他类似的法规将会对更负责任的数据隐私和数据治理产生预期的影响?
我最大的担忧是,监管往往是繁重而昂贵的, 花在监管上的钱阻碍了初创澳门赌场官方下载进入这个领域, 这些钱是从R那里转走的&D. 迄今为止,美国国会一直保持立法“技术中立”.“如果立法通过并由总统签署, 科技公司将首次对消费者负有某些法律责任. 这是不可思议的第一步. 我希望继续看到的是,大型科技公司的文化发生变化,始终把消费者放在首位. 这将需要大型科技公司、政府官员和技术用户之间的密切合作.
ISACA Now:在我们向前发展的过程中,您认为网络安全专业人员面临的最紧迫的挑战是什么?
网络安全的方法和计划在不断发展,网络罪犯的策略也在不断发展. 网络安全专业人员需要尽可能多地了解网络安全, 我强烈建议他们继续学习自己的专业. 我们看到越来越多的网络专业人员负责安全的业务方面, 不仅仅是技术方面的问题. 我鼓励所有网络专业人员了解他们组织的战略业务优先级,以及安全与这些优先级之间的关系. 几年前, 网络安全被视为只是一个技术问题——尽管这仍然是事实——但网络安全更重要的是一个品牌问题. 网络专业人员必须认识到不良事件可能对公司声誉产生的重大影响,并尽其所能平衡实施技术和创建互操作性,同时防范网络犯罪分子.
我们必须为人类设计安全. 他们不能制定这些过程和程序,因为这些过程和程序太复杂了, 非技术人员会找到绕过它们的方法. 你必须弄清楚你的公司在安全-易用连续体上所处的位置, 然后从这里开始. 例如, 我们中的许多人在家里为蹒跚学步的孩子或宠物安装了儿童防护或安全物品, 然而我们仍然告诉他们, “别碰这个.“但是,以防万一,我们在你的房子里设计了安全设施. 我们必须在我们的工作和日常生活中建立同样的安全安全网. 为你的员工和你自己设计它们. 要知道他们会使用免费WiFi, 他们会重复使用密码, 他们会回复那些诱使他们提供信息的电子邮件——他们会违反所有的安全规则,因为他们不是安全员工.
