扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
网络安全和数据隐私成为在麦迪逊举办的 CEO-CIO研讨会的热门讨论话题,随着网络犯罪的日益猖獗,企业被攻击的次数也越来越多。企业的业务部门开始向CIO和IT部门寻求解决方案,CIO 又该如何回应这样担心呢?白宫前CIO,现网络安全公司Fortalice LLC CEO Theresa Payton先生,会给出他的一些建议。
问:我了解到由于近期一系列网络攻击事件被披露,网络安全已经成为本次研讨会上的重要议题,您认为企业CIO们该如何应对?
Theresa Payton:我看到这个势头。我认为这是一种非常有益的趋势——可以再更广的范围内讨论网络的风险和安全。我们该如何构建安全系统?企业在利用网络提升生产效率的同时又该如何控制潜在的风险?——这个讨论还将继续下去。
有个挺有趣的现象,我刚刚看过一份关于CIO和CEO就安全问题的研究报告,在报告的一个方面,CIO通常会说:“我向CEO汇报了安全方面的工作或者 我向董事会介绍了安全方面的状况”。而报告接着就发现,当他们询问CEO们如何得到企业网络安全的报告时,只有三分之一的CEO表示他们记得看过这份报 告。从这里我认为,CIO如何和上级沟通很重要,这种沟通不仅仅是安全报告上的专业术语堆积,而应该是关于安全对企业业务发展影响的分析和对策。
问:你在这方面有没有具体的建议?
Payton:我 觉得应该去重新审视企业今年的战略目标,是三大主要战略还是五个?从这些战略目标是寻找到哪些与网络安全相关的议题。这样你在报告里就可以通过谈论企业今 年的战略目标来带出对于网络安全的担忧和应对计划。在和董事会的汇报中,你需要站在董事会的角度去看待网络安全问题,让他们了解只有这些网络安全问题得到 解决,企业的效益才能得到最大的提升。
问:非常使用的建议!那么企业在哪些方面可能会遇到网络安全问题?他们又该怎样应对?
Payton:其中一个领域便是近几年来炒得火热的社交媒体平台。很多企业并没有意识到这一点。首先使用社交媒体的是员工,其次再是企业。企业缺乏一些诸如“如果不是为了营销,那么不要使用社交媒体”的政策。
我来举个案例,我们只是利用社交媒体就猜测到一家公司数据中心的架构。我们的猜测先从社交媒体LinkedIn开始,那里有该公司员工的详细简历,接着 我们又搜索到留言板和博客上的信息。这些都是可以查到的公开信息,通过对这些信息的重组和分析,你可以看到这家企业在社交媒体上面临着多大的风险。
问:市场上的安全供应商在提升企业安全方面有些可以尝试的工作?
Payton:市 场上又很多关于安全的产品。购买最新的产品,可以有效的防御风险。我认为这是必须的,但这并不全面和整体化。我希望安全产品供应商,尤其是企业级的供应 商,应该展示出其产品如何作为整体解决方案的一部分,而不能将它看成一个零和游戏:“因为你有预算,所以必须买我的产品。”作为安全产品供应商,真正需要 思考的是从企业战略的层面考虑安全性的问题,告诉你的客户:“你应该了解到你们目前面临的风险,这些风险可能会对你的企业架构产生重大影响,而我们可以帮 助你们解决这些风险”。在谈判桌上,你无需将竞争对手贬的一文不值,而只需告诉你的客户,你能提供的产品和服务可以最大限度的融入企业战略中,给企业发展 保驾护航。
问:通常安全问题追根溯源都是人为疏忽,并非恶意所为,比如你的员工不该下载东西等,像这些的话都是缺乏对员工的教育。你觉得在企业内部谁是最适合将这些“禁令”信息传达给员工的人?他们又该采取哪些举措?
Payton:我 觉得这取决是公司规模。你可能在董事会没有一个教育和培训人士,但如果你可以找到一个沟通方面的好手与企业安全专家一起工作,那无疑是最好不过的了,他们 可以帮助开发一种对员工更友好,更自动化的安全提醒机制。但要记住,不要过度渲染这件事,而是要将其纳入企业文化和基因中。
不妨回忆一 下我们在企业培训中取得了哪些进展,通常这类的企业内部培训是由HR组织的,但它会转变成企业文化的重要部分,那么安全方面的培训也是如此。这不仅仅是安 全小组的分内事情,而应该变成企业文化的一部分。它不应该是一年一度的自我检查,而应该是日常工作。培训的第一阶段是对员工个人行为的关注,因为他们对自 己的所作所为更清楚,也会对做过的哪些事情有印象,如果你可以训练他们懂得如何在家庭生活中的安全处理方式,那么他们在工作中也会有注意安全的良好习惯。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者