编者按: ISACA Now博客提供了一个为期一周的系列,为各个数字信任领域的从业者提供2023年的成功秘诀. 今天,我们展望2023年的安全专业人员.
我在一家快速扩张的保险和咨询公司担任全球首席信息安全官. 我的背景是技术, 通过桌面支持工作, 网络工程师和基础设施架构师的角色,最后跨越了卢比孔河,开始了我的GRC职业生涯 中国钢铁工业协会证书 许多年前! 我只想说,我的背景使我能够与我的技术同事交谈,并帮助我将风险和问题反馈给董事会.
升到高管层并不总是让我心悦理服. 作为一名首席信息安全官,多年来我不得不学会放手. 我相信并依靠我的团队在必要的时候升级,现在我不会干涉任何事情. 我再也不能配置路由器了,有时我真的很想念路由器!
想想这篇强调2023年安全专业人员可操作提示的博客文章, 我不知从何说起. 最后, 我借鉴了生活经验, 希望其中的几点能引起你的共鸣,并在未来的一年里对你有所帮助.
我从最重要的开始:
1. 是否有个人事件响应计划
我们都有CIRT/SIRT团队, 重大事件应变计划及剧本, 但有多少人会考虑到,如果我们需要部署这些计划,会对个人产生真正的影响呢? 每个人都有自己的家庭生活,而且会有很大的不同,但没有人能24小时不停地工作. 我们中的一些人有照顾他人的责任,我们都有压力. 大流行带来的更多在家工作只会加剧这些挑战. 我的建议是,当最坏的情况发生时,确保你有一个计划,因为你在家里和工作中都需要支持, 这一点经常被忽视. 如果你有一个计划,你就准备好了,可以把你的注意力放在需要的地方.
2. 打开摄像头/到办公室去(如果你有的话)
这是关于在大流行后的世界中建立联系和重新联系. 我们中的许多人可能已经失去了办公室,但在技术专业领域保持人与人之间的联系是非常重要的. 我试着每周去一次我们的办公室,每季度去一次美国(我在英国),以确保我能和同事面对面交谈. 你可以谈论与工作无关的活动,并更多地了解个人的动机, 这能让我们在需要帮助的时候感觉更好吗.
3. 了解你的业务
重点在于理解你为之工作的公司是如何赚钱的. 从事网络安全和GRC工作, 我们渴望看到风险得到缓解,控制得到实施, 但对一家澳门赌场官方下载来说,最大的风险是它无法生存, 我们需要明确的是,我们的工作是通过保护客户的利益和成为值得信赖的顾问来帮助澳门赌场官方下载成长, 而不是那些说不的人. 和你的部门主管谈谈,去喝杯咖啡,看看你能怎么支持他们.
4. 是灵活的
威胁行为者在不断进化攻击机制, 新技术不断涌现,业务重点也在发生变化. 你需要适应和积极改变,以应对不断变化的地板,而不是不知所措. 有时候,每件事都是优先考虑的,退后一步,暂停一下需要付出很多努力. 我的团队采用敏捷方法进行工作计划,因为这是对运营IT和开发团队的补充,并帮助我们跟踪进度. 我也喜欢把有时看起来像一个庞大的任务分解成它的组成部分.
5. 澳门赌场官方下载工具,但不要忘记人
我们需要大量的资金来购买最新的闪亮工具,以对抗我们共同的敌人. 是的, 然而,我们确实需要充分了解我们的攻击面,并确保我们有所有的控制措施来检测和响应, 世界上所有的工具都无法取代有技能和有价值的团队成员,他们将用人类的眼睛来监控和响应警报,知道什么是良性的,什么是攻击. 人们可以迅速拿起电话打电话给同事(见第2条),检查是否有任何计划外的工作正在发生,或者警报实际上是否是恶意的. 该团队当然得到了工具的大力支持, 但永远记住你的保护能力中最重要的部分:人.
总之, 这篇博文并不是要预测2023年的最新趋势——会有很多安全供应商非常愿意告诉你这些——但我确实希望这篇指导能帮助你在未来的一年里成为一名网络和GRC专业人士. 脚踏实地,保持微笑!
