在企业数字化转型的大潮中,面对日益扩大的攻击面和日益复杂的安全威胁,CISO(首席信息安全官)们将会在2024年面临更加严峻的风险挑战和能力测试。为了加强防御和应对威胁挑战,8位全球顶级的CISO日前向专业IT网站DarkReading.com分享了他们的新年目标和关键行动计划,这些目标大多聚焦于如何加强组织安全态势的举措和方法,也再次强调了采取主动措施、增强运营能力和响应能力对实现数字化转型发展的必要性。
1.Justin Dellportas——Syuniverse首席信息安全官
2024年,我最重要的工作就是提高公司网络安全弹性,这主要包括评估业务连续性、灾难恢复(BC/DR)和事件响应(IR)计划等三大方面。我们会努力保持这些计划的更新,并在适当的时间周期进行练习,同时也会密切关注那些基础性的威胁发现、预防和响应能力。
2024年,我会要求团队更加了解数字化业务的关键产品和流程,能够快速模拟出潜在的破坏性场景,并确定组织的BC、DR以及IR计划是否足以缓解相关的网络安全风险,这一点非常重要。当然,这不是仅仅依靠安全运营团队就能在“真空中”完成的事情,因此,与业务部门建立牢固的伙伴关系并与公司管理团队保持联系将是我们取得成功的关键。
2024年,我还会尝试建议公司建立一个跨职能的网络安全风险管理委员会,这样可以确保建立可靠的侦查、预防和响应能力及安全流程。在此基础上,拥有基准配置、集中日志记录和补丁会进一步帮助我们缓解网络攻击的影响。
2.Rinki Sethi——Bill首席信息安全官
在2024年,我希望能够和公司IT部门一起建立积极主动的协同关系,从而做出重大的安全改进,包括建立强大的组织网络安全文化。人工智能和其他新技术正在改变世界各地的组织,而监管格局也正在发生变化,并推动对网络安全计划的更多审查。在此背景下,识别人为错误、防护社会工程和缺乏网络卫生的风险仍然会是我们日常工作中的优先领域,并且随着人工智能技术成为更流行的攻击媒介,这一挑战可能将变得越来越大。
对于威胁行为者使用AI实施攻击的趋势,组织必须提高警惕,并对员工进行再培训,以监视和报告任何恶意活动。我对2024年这一领域的可能性和机会感到兴奋,因为如果我们做对了,它将改变游戏规则,有利于更好地阻止威胁行为者。
3.Katie McCullough——Panzura首席信息安全官
在迎接新一年的时候,我们的重点工作计划不仅是聚焦防御能力的提升,最重要的决议是建立有效的防护机制,以确保在突发性安全事件出现时实现影响最小化。因此,2024年我们将致力于创建一个更加强大的网络安全事件响应计划和恢复策略,以便在攻击发生后迅速恢复到业务正常运营状态。我们相信,只要为各种最坏的情况做好提前准备,即使面临潜在的网络威胁,组织也可以保持其业务连续性和客户信任。
2024年,我们还有一个关键的目标是对潜在的安全风险进行更加全面地识别、评估和处置。当然,要实现这种前瞻性的风险管理方法需要持续监控和评估公司的网络安全态势,以识别潜在的风险。通过及早认知和处理这些风险,我们才可以防止它们演变成严重的威胁。
最后,我们还希望能够提供一种与用户和业务部门无缝集成的安全服务。这意味着我们需要设计强大且用户友好的网络安全措施,确保安全协议不会妨碍生产力或用户体验。通过实现这种平衡,公司将可以维护一个支持业务目标的良好安全环境。
4.Devin Ertel——Menlo Security首席信息安全官
我已经要求我的团队在新年伊始就进行一次彻底的风险评估,找出各种潜在的安全风险和弱点,这样才可以战略性地分配安全资源,以解决最紧迫的安全问题。我认为,通过这种主动的安全防护方法,不仅可以确保公司现有的网络安全策略是深层响应的,而且还能更有效地预测新出现的威胁,为构建企业网络弹性提供坚实的基础。
为了更好地实现2024年的工作目标,我会继续说服公司董事会将网络安全战略与组织预算相结合,这涉及明智地分配财政资源,以实施强有力的安全措施。对于我们公司而言,在先进安全技术投资和确保安全运营工作可持续性之间保持一种适当的平衡是至关重要的。
5.Joseph Carson——Delinea 首席信息安全官顾问
2024年已经到来,我将领导我的团队继续寻找把安全密码移到工作场所后台的方法。目前,我们已经看到许多组织实现了无密码访问,在增强安全性的同时也改善了用户体验。我们希望通过把密码移到后台,让企业的数字化转型之旅变得更美好、更安全。
2024年,在新兴技术、不断变化的威胁环境和监管框架的推动下,网络安全合规形势正在发生重大变化。GDPR和CCPA等隐私法规为更严格的数据保护要求奠定了基础。因此,我们在2024年也将为此趋势做好准备,提升处理个人数据的合规能力和保护范围。
6.Gareth linddahl -wise——Ontinue 首席信息安全官
2024年,我最主要的工作任务就是集中精力预测威胁。因为真正的“黑天鹅事件”很少,我们可以通过多种方式预测威胁,包括实战化的攻击模拟、实施桌面对抗练习,以及强化检测、预防和响应事件的能力等。
此外,2024年我的另一项重要工作就是提升自己在公司的影响力,并推动更多的部门的人员参与到网络安全工作中。网络安全很多时候是在威胁事件发生后的考虑和处置。这需要让我的同事和领导知道如何在常见的业务场景中管理安全风险,包括收购、新产品或服务发布、投资、市场进入或缩小规模。
7.John Bruns——Anomali 首席信息安全官
2024年,我的主要工作重点会侧重于三个核心领域:主动性措施、操作性措施和响应性措施。
在主动性措施方面,我们会完成或更新公司的整体成熟度评估,更新风险登记册(risk register),并在此基础上建立未来两到三年的网络安全建设路线图。在风险登记册的更新过程中,我们将尝试引入缓解和控制措施,从而增强组织抵御网络攻击的能力。
在操作性措施方面,我们将会关注安全工具、流程和人员,努力构建更加全面的检测和响应策略。因此在我们改进操作性的年度工作计划中,首先就是会继续增强我们的日志管理策略,以推动更好的检测工程。从基本的日志记录到高级的日志记录,我们会不断构建和调整我们的检测和响应流程,以确保减少事件平均响应时间。
在响应性措施方面,我的重点工作是确保我们拥有“地面军队”(boots-on-ground)能力,包括事件响应专家、取证捕获和分析能力以及恢复处置的能力,主要包括重建系统、补丁管理或弃用受影响的系统。
8.Dana Simberkoff——AvePoint 首席风险隐私和信息安全官
我认为,人工智能时代正在到来,这是人力所不可抗拒的,因此我们必须确保负责任地、安全地利用AI技术。考虑到这一点,我的团队将会在2024年和公司的IT部门和业务部门合作,共同开发和实施生成式人工智能“可接受使用政策”(acceptable-use policies,AUP)。这个政策中会全面包括数据隐私和机密性、获取gen AI以及负责任地使用该技术。
除了制定可接受使用政策外,我们还将对公司的所有员工进行持续的安全性培训,以便他们意识到并能够负责任地行事。特别是考虑到人工智能和机器学习的应用对我们工作的影响有多快,以及这项技术的变化有多快,我要求我的团队必须在新的一年里继续保持敏捷。
以安全和隐私为中心的方式成功采用人工智能,将与您在组织中实施的基本数据治理和生命周期管理程序有效结合,从而产生加倍效益。如果你把垃圾放进去,那你得到的也只会是垃圾。因此,在将数据提供给人工智能之前,清理数据并确保其得到适当管理是很重要的。否则,我们最终可能会发现,隐匿式安全(security by obscurity)将不再是一种后备性防御措施。
参考链接:
https://www.darkreading.com/cyber-risk/i-securely-resolve-cisos-it-security-leaders-share-2024-resolutions