无论企业规模大小,网络危险的参与都象征着CISO不只要思考传统的技术进攻,还必定开展出一套综合性的、前瞻性的危险控制体系。这集体系岂但要能够抵御现有要挟,还要具有足够的灵敏性,以应答未来的未知攻打。
有效的危险控制不只是确保企业免受潜在网络攻打的前提,更是维持业务延续性、包全公司声誉和法律合规的关键保证。但是,虽然许多CISO具有丰盛阅历和良好用意,许多人在危险控制通常中仍会重复踩坑,以下是CISO最常犯的七个危险控制认知错误:
1.堕入“救火形式”
许多CISO经常堕入日常琐事和紧急疑问的解决,漠视了制订明白的危险控制目的。德勤网络安保专家Kristi Preuss指出,CISO应防止堕入“灭火形式”,而应经过树立明白的安保方案来坚持企业战略的明晰性和前瞻性。CISO应解脱“主动式”控制,活期评价和降级安保方案,确保消息安保投资到位,降落企业的全体网络危险。
2.适度依赖危险评价
有些CISO堕入了适度控制和频繁危险评价的困境。谷歌云CISO办公室的世界担任人Nick Godfrey提示说,虽然初期的危险评价有助于发现破绽,但常年频繁的评价反而会造成资源糜费,漠视了其余更有价值的投资时机。CISO应平衡资源调配,在保证低危险的同时,将更多精神投入提高效率和才干树立,提升危险控制措施。
3.漠视企业安保文明树立
树立良好的企业安保文明至关关键,但CISO往往以为这是安保部门的责任。NCC团体的危险控制主管Sourya Biswas强调,安保文明应该从企业上层传递,CISO必定确保企业各级人员都了解并通常安保文明,而不只仅逗留在行动上。上层指导的行为和态度对安保文明的构成至关关键,员工只要看到指导真正遵照安保准则时,才会追随效仿。
4.适度自信造成防护失效
CISO最大的错误之一就是适度置信既有的安保战略和认证。Radware的CISO Howard Taylor提示,网络要挟始终变动,CISO应时辰坚持警觉,始终改良和验证安保防护措施。过于依赖过去的安保方案,尤其是常年间未降级的战略,或许造成企业在面对新型攻打时毫无防范。
5.谋求合规而非真正的安保
许多CISO将合规与安保划等号,堕入了“打勾心态”。ISG钻研公司数字技术主管Jeff Orr指出,CISO往往只关注合规性,漠视了实践的安保要挟。CISO应采取基于危险的安保控制方法,活期从新评价现有安保战略的有效性,确保应答始终变动的要挟,而非仅仅满足监管要求。
6.不足有效的度量与控制模型
Tufin公司首席技术官Erez Tadmor倡导,CISO不只要依赖安保工具,还要构建并活期审查有效的度量和控制模型。这些模型有助于确保安保政策与监管要求、行业最佳通常和企业自身需求坚持分歧。没有明白的度量目的和控制框架,CISO很难权衡安保方案的成效,也不可及时发现潜在的性能错误。
7.漠视运营弹性方案
最后,CISO须要树立弱小的运营弹性方案,以应答网络攻打带来的业务终止危险。Semperis公司的CISO Jim Doggett指出,运营弹性方案应涵盖企业整个生态系统,包含供应商、协作同伴和其余关系方。CISO应确顾全企业介入运营弹性方案的制订和执行,而不是仅由安保团队独自承当。