您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

老板最关心这6个安全问题,别说你1个也不知道!

时间:2021-04-13 12:20:19  来源:计算机世界  作者:

导语

网络犯罪活动的激增已经引起了企业董事会对安全的关注。本文介绍首席信息安全官从董事会那里可能听到的担忧和问题。

数据泄露、勒索软件攻击加剧了企业董事会对网络安全的关注。安全领导表示,董事会越来越多地参与到安全事务中,对网络问题有了更深刻的理解,并针对风险暴露和管理风险的方法提出了更复杂的问题。

尽管很多人仍然把安全看成是开展业务的一项成本,但越来越多的董事会成员将其视为业务的基础。随着众多的企业加快了数字化转型计划,董事会想知道,在员工越来越分散的环境中,安全怎样支持转型举措,满足业务需求。

麦当劳公司首席信息官Timothy Youngblood说:“董事会越来越精于理解技术和安全问题。”他说:“这是因为他们在一定程度上受到了SEC的影响,自己也期望董事会具备一定水平的技术专长。”他们还得到了全国企业董事协会和其他机构在网络安全方面的大量指导。

因此,董事会现在向安全领导们提出的问题也发生了很大变化。据Youngblood等人的研究,以下列出了当今董事会最关心的6个问题。

01网络问责

风险管理公司VigiTrust的首席执行官、新书《董事会里的网络大象》的作者Mathieu Gorge指出,首席信息安全官应做好更充分的准备,以回答董事会有关网络问责的问题。Gorge介绍说,“网络问责”指的是一个部门有能力证明他们有良好的网络环境,如果出了问题,他们可以追溯所有问题,定位到某个具体的事件、人或者群体。

首席信息安全官应准备好解释什么是网络问责,企业为什么要关注它,怎样开始网络问责之旅,以及它包括什么。Gorge说:“这只是为了证明我们能够应对网络攻击,而且我们有相应的计划,还是不止于此?涉及到谁,花费多少,我们真的需要吗?”

在阐明应对措施时,安全领导们应注意,董事会真正想听到的是对企业整体生态系统的问责。这意味着,除了他们自己的部门之外,安全领导们还应该能够描述他们怎样让特许经营商、子公司、业务合作伙伴、供应商和其他第三方为实施安全最佳实践负责。

这种生态系统可以是国际性的,由复杂而且往往相互冲突的条例和标准来监管,所有这些都需要某种程度的问责。首席信息安全官需要准备好回答他们正在做什么,或者计划做什么,以阐明自己的责任。“你是否能够通过绘制生态系统图来进行展示,是否能够使用显示正在发生什么的控件来进行展示,是否能够阐明已经对企业内各个相关方的数据访问权限进行了分类?”

02疫情及以后的安全态势

商业支付服务公司Fleetcor的首席信息官James Edgar表示,疫情后人们转向远程工作,从而导致董事会在网络安全方面提出的问题更加备受关注。

从IT和整个业务部门的角度来看,很多直接关注的焦点都集中在转向远程工作将怎样影响业务运营方式上。这些问题涉及到企业是否有能力将大多数员工转移到远程工作模式,并且仍然能够为业务提供支持。

Edgar说,他从董事会收到的问题包括与业务连续性有关的问题,以及疫情来袭时对已经开始实施的主要IT项目会有什么影响等。“我们还能把我们最为重要的大事做好吗?我们是否能维持当前的安全以及合规级别?我们的基准是什么,当我们走出新冠疫情时,我们还能达到这些标准吗?”

随着事态的稳定,重点已经转移到企业在后疫情世界中维持其安全态势的能力,以及将采取何种投资方式来实现这种能力。Edgar说,对他来说行之有效的一种策略是,每季度向董事会提供关于安全领域威胁形势和重要趋势的最新信息。他介绍说:“我们定期向他们提供我们在勒索软件、端点保护、网络监控方面所看到的情况以及我们所做工作的最新信息。在安全问题上,我们Fleetcor不能独善其身,而是放眼世界,兼济天下。”

03安全策略

Youngblood说,与几年前相比,董事会对网络安全的思考更具战略性。很多董事将网络安全视为自己的本职工作,也是应尽的责任和忠诚义务。

Youngblood说:“你今天遇到的问题是,怎样处理那些不受控制的事情,比如第三方的。”如今有这么多的外包业务,董事们想听听企业网络安全投资是怎样受到保护的。他们想了解企业从中得到了什么,以及是否有影响业务目标的因素。

Youngblood说,董事会喜欢听到企业应对网络事件的准备情况,以及在威胁成为重大问题之前是否有控制措施检测到威胁。他们想知道,网络安全是否与数字转型链紧密相连,安全是否被内置到每一个步骤中,而不是最后才加上去。他说,值得注意的是,董事会越来越想了解企业还没有进行但可能对网络风险产生不利影响的投资。

回答这些问题会很棘手,因此,让首席信息官、首席产品官和其他相关方在董事会会议上也畅所欲言是不错的主意。他说,在与董事会讨论战略安全问题时,你的发言一定不要让首席信息官感到意外。了解董事会的风险偏好,确保将网络风险置于企业风险管理的范围内。

Youngblood说:“我推荐的方法是从谈论业务和业务成果开始。我不会以非常策略性的方式进行谈话。”

04对照行业最佳实践进行基准测试

云服务提供商Netenrich的首席信息官Brandon Hoffman指出,董事会对他们企业的安全状况与同行相比有多好或多差非常感兴趣。其中一个原因可能是,在出现泄露事件时,企业的安全措施往往会与行业最佳实践或同行采用的做法进行比较。

Hoffman说:“最高层对了解与行业相关的风险有着浓厚的兴趣。”这种比较本身往往对营造更安全、风险更小的环境没有多大作用。即便如此,很多董事还是希望这样做,因为在业务环境中,有效衡量安全性的方法很少。

Hoffman说:“首席信息安全官犯的最大错误之一是没有将安全相关风险与业务风险联系起来。相反,报告往往围绕着合规框架和技术度量展开,这些充其量只是日常工作的指标。这确实无助于高管或者董事会理解对业务的影响。”

05抵御网络攻击

董事会不仅在战略和企业风险管理层面上对网络安全越来越感兴趣,而且他们仍然深入参与与企业抵御和应对网络攻击能力相关的工作。Thycotic首席信息安全官顾问兼首席安全科学家Joseph Carson评论说,他们想知道你是如何使用人员、流程和技术来尽可能降低风险的,同时还要在工作效率和安全性之间保持适当的平衡。

董事会可能会问及,首席信息安全官需要准备解释的问题包括:关键业务服务暴露给勒索软件等威胁的风险,以及为降低勒索软件或其他攻击对业务服务的影响而采取的措施等。他说:“哪种威胁最有可能影响业务,以及有哪些财务风险,降低风险有哪些选择。我们的网络风险差距有多大,比如降低风险的成本与不采取任何措施的成本相比如何?”

准备好回答有关事件响应计划的问题,以及你是否已针对极有可能严重影响业务的每一种威胁进行了测试。Carson说:“我们应采取什么措施来细分业务的各个部分并控制访问权限?我们超越了哪些法规和合规要求,满足了哪些,未能满足哪些,以及这些法规和合规要求怎样与业务网络风险相适应?”

06持续合规

Gorge说,应准备好讨论持续合规和持续安全性。董事会成员往往会问,在网络安全方面的投资需要多长时间才能让公司得到回报。他说:“人们会问,'好吧,我们就这么试一次,那么今后好几年都会保持得不错,对吗?还是需要我们持续的投入?”

Gorge说,在此,首席信息安全官和其他安全领导们应引入这样一种理念:安全与合规是一个过程,而不是终点。他们应阐明,随着业务的发展,安全需求也在不断变化。重要的是,安全领导们要强调在网络安全方面持续投资的必要性,包括资金、时间和精力等。解释在3~5年的时间里,这些投资将怎样降低成本、提高安全性、增强客户信心并带来其他切实的好处。

Gorge说:“在网络问责和持续合规的双重背景下,首席信息安全官面临的最大挑战是展示网络安全怎样成为一种业务推动因素,而不仅仅是花钱。与其说‘如果我们不这么做,可能会发生安全事故’,不如展示一下怎样利用现有的模式,一种真正增加价值的方式,将网络安全纳入资产负债表。”

作者:Jaikumar Vijayan是一位专注于计算机安全和隐私话题的自由技术作家。

编译:Charles

原文网址:https://www.csoonline.com/article/3601001/6-board-of-directors-security-concerns-every-ciso-should-be-prepared-to-address.html

微信排版:牛可歆

排版审核:刘 沙



Tags:安全问题   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
IT之家 12 月 15 日消息,根据 mspoweruser 报道,微软于 12 月 13 日为当前支持的所有版本 Windows 10 操作系统推出了 KB5008212 累积更新,大小约为 600MB。这一更新没有任何新...【详细内容】
2021-12-15  Tags: 安全问题  点击:(305)  评论:(0)  加入收藏
线程安全这个名称,相信稍有经验的程序员都会听说过,甚至在代码编写和走查的时候可能还会经常挂在嘴边,并且在面试中是问的最多的,但凡有处理线程安全问题经验丰富的程序员,都会很...【详细内容】
2021-05-18  Tags: 安全问题  点击:(202)  评论:(0)  加入收藏
导语网络犯罪活动的激增已经引起了企业董事会对安全的关注。本文介绍首席信息安全官从董事会那里可能听到的担忧和问题。数据泄露、勒索软件攻击加剧了企业董事会对网络安全...【详细内容】
2021-04-13  Tags: 安全问题  点击:(219)  评论:(0)  加入收藏
来学习下 Go 语言的安全检查工具 gosec。• 来源:linux.cn • 作者:Gaurav Kamathe • 译者:lxbowlf •(本文字数:11199,阅读时长大约:13 分钟) Go 语言 写的代码...【详细内容】
2020-12-22  Tags: 安全问题  点击:(100)  评论:(0)  加入收藏
前言如今越来越多的中小型公司选择使用云平台,诸如:阿里云、腾讯云、Amazon、Azure。使用云平台大大降低了企业的资源成本,另一方面随着公用云的普及,也存在着一些风险,当然不是...【详细内容】
2020-07-16  Tags: 安全问题  点击:(54)  评论:(0)  加入收藏
1.SQL注入原理:1).SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字元为不同命 令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除…&hell...【详细内容】
2020-05-06  Tags: 安全问题  点击:(67)  评论:(0)  加入收藏
之前的文章说了一下关于 Cookie 的内容,但是也就引出来了一些问题,比如 HTTP 是怎么进行安全处理的?来了,本文给大家讲述 HTTP 的安全问题。1. HTTPSHTTPS 是最流行的 HTTP 安全...【详细内容】
2020-01-02  Tags: 安全问题  点击:(96)  评论:(0)  加入收藏
相对于其他几种语言来说, PHP 在 web 建站方面有更大的优势,即使是新手,也能很容易搭建一个网站出来。但这种优势也容易带来一些负面影响,因为很多的 PHP 教程没有涉及到安全方面的知识。...【详细内容】
2019-12-31  Tags: 安全问题  点击:(81)  评论:(0)  加入收藏
在我们日常写程序的过程中,免不了与文件系统打交道,各种开发语言都提供了与文件系统交互的指令函数,比如Python中的os模块,就提供了许多这样的指令函数,今天就以创建文件夹为例,来...【详细内容】
2019-12-23  Tags: 安全问题  点击:(101)  评论:(0)  加入收藏
很多程序员都很清楚一个专属名词,那就是——爬虫,而大多数网友对于这个词语还比较陌生,属于新鲜的词汇,但是随着互联网的发展,这种网络爬虫其实和我们日常生活息息相关...【详细内容】
2019-10-28  Tags: 安全问题  点击:(160)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(19)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(18)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(631)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条