您可能在办公室里放松身心,以为网络威胁是针对他人的。我的IT部门足以照顾我的数据和系统的安全性。也许我们没有人会入侵我们的系统那么大或受欢迎。甚至更糟的是,我们的规模如此之大,以至于我们有几个人负责管理我的IT人员的数据安全报告。好吧,您可能需要重新考虑!
Hiscox Insurance发布的一份报告概述了网络攻击的总成本超过4500亿美元。报告还指出,有超过1亿美国人的病历被盗。一项国际研究发现,在2015-2016年间,将近40%的企业受到勒索软件的攻击,其中34%的企业受害者损失了收入,而20%的企业不得不立即停止运营。
网络威胁格局
对任何组织信息系统的长期威胁不容忽视。它存在于各种大小,大小,大小的行业和组织中。技术使业务运营能够在地理上进行扩展。从简单的2层客户端-服务器技术发展到使用软件即服务,云存储和多个用户平台(“自带设备”的情况),许多手持设备的操作系统几乎可以访问组织数据,服务)。数据超越组织边界的移动已经增加,并且这种信息流经的渠道数量呈指数增长。系统的这种开放性固有地暴露了数据和系统以进行网络攻击。
同时,网络罪犯也在演变。现在,他们可以从“黑客站点”进行网络监视,发起分布式拒绝服务(DDoS)攻击,网络钓鱼攻击,并不断发明旨在窃取组织数据并从中获利的新方法。便携式存储设备的激增也增加了内部数据丢失的风险,这可能是由于人员疏忽或故意违反安全性造成的。安全领域的人们非常清楚,用户将利用安全策略中的漏洞来实现其指令和性能指标。这些方法最终会导致组织丢失数据的威胁。
需要安全专家
考虑到操作环境的复杂性和可能发生的攻击的复杂性,组织需要做出专门的努力来保护自己免受数据丢失的影响。需要分析风险,减轻风险,与业务运营团队和第三方专家建立联盟和伙伴关系。需要协调一致的专门工作才能达到所需的信息安全级别。设计每个业务操作时,必须将安全性作为该设计的组成部分。为此,需要CISO的单独角色,该角色负责组织的整体信息安全,并具有足够的权限从安全角度控制业务的各个方面。
首席信息安全官(CISO)带来的价值
专门的CISO将对存在的威胁,保护基础设施和信息的保护措施,工具和技术有深入的了解。他将熟练地评估威胁,计算对业务的影响,然后以其他CXO可以理解风险的语言来传达威胁。他将在威胁成为现实之前(如果有的话)很早就采取所有这些措施。该工作不仅需要技术知识和对安全环境的理解,还需要对业务运营的广泛了解,以了解可能在何处发生这些风险。 首席信息安全官必须具有这些技能,以确保管理层为组织中的网络安全分配正确的预算。此外,大多数信息安全标准(例如ISO 27001,NIST,COBIT)都需要完整记录的信息安全策略以及高级职位,以监督和管理该策略。还可以利用这些标准来帮助组织描述CISO的角色和职责,以便他可以实施可靠的网络安全实践。
首席信息安全官 –关于领导力
他不仅定义了安全策略和程序,还推动了员工的安全教育。这样,安全措施的有效性就变得很明显,并且可以创建更安全的基础架构。 首席信息安全官角色成功的关键不仅在于设计强大的网络安全策略,还在于教育和吸收组织员工的安全实践。这发出了一个重要的信息,即组织不仅在提供的服务方面出色,而且有意识地保护客户和合作伙伴数据。
没意见