日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

談論可能很方便，但在IT安全方面，與同事、業(yè)務合作伙伴和其他相關方進行戰(zhàn)略對話的價值可能是不可估量的。

成都創(chuàng)新互聯(lián)自2013年創(chuàng)立以來，先為梨林等服務建站，梨林等地企業(yè)，進行企業(yè)商務咨詢服務。為梨林企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題。

技術研究和咨詢公司ISG網(wǎng)絡安全部門聯(lián)席主管羅杰·阿爾布雷希特表示，通過持續(xù)的討論解決網(wǎng)絡安全問題的價值在于，讓企業(yè)在有效和穩(wěn)健的戰(zhàn)略上保持一致。

“這樣的討論確保將網(wǎng)絡安全倡議和資源需求整合到企業(yè)的業(yè)務目標中。”他補充道。這些討論解決了不斷變化的監(jiān)管和合規(guī)問題，并揭示了風險緩解方面的漏洞和威脅。

Albrecht說，正在進行的IT安全戰(zhàn)略對話應該降低企業(yè)的網(wǎng)絡風險，并實現(xiàn)戰(zhàn)略目標?！斑@樣的對話，應該以明確的行動、好處、時間表以及彌補差距所需的預算和資源來結(jié)束。

對于希望建立更強大的網(wǎng)絡安全戰(zhàn)略的IT領導者來說，以下7個問題是你應該與高管同事、業(yè)務合作伙伴和IT員工進行深入網(wǎng)絡安全戰(zhàn)略對話的關鍵提示。

1、我們的系統(tǒng)是否在安全方面有足夠的現(xiàn)代化?

谷歌云CISO Phil Venables表示，企業(yè)應該討論如何對其技術基礎設施進行現(xiàn)代化改造，以支持內(nèi)置安全而不是簡單地連接的體系結(jié)構(gòu)。

遺留系統(tǒng)通常存在固有缺陷，因為它們的設計不像更現(xiàn)代的體系結(jié)構(gòu)——通常是公有云或私有云——那樣具有防御性。Venables觀察到，在過去10年中，有許多案例表明，企業(yè)在網(wǎng)絡安全產(chǎn)品上進行了大量投資，但尚未升級其整體IT基礎設施或?qū)崿F(xiàn)軟件開發(fā)方法的現(xiàn)代化。

“這相當于在沙子上蓋房子?！彼f。如果不繼續(xù)關注和投資于IT現(xiàn)代化，企業(yè)將無法充分實現(xiàn)安全進步的好處，從而使其企業(yè)容易受到惡意活動的攻擊。

Venables建議，現(xiàn)代化對話應在董事會會議室、高管領導層會議和業(yè)務部門特定戰(zhàn)略會議中舉行。

“歸根結(jié)底，只要在正確的利益相關者之間進行討論，并啟動路線圖，企業(yè)就會為成功做好準備。”他說。

2、我們是否在應對網(wǎng)絡場景時達到了我們應該達到的程度?

管理咨詢公司艾斯納咨詢集團(Eisner Consulting Group)合伙人兼外包IT服務主管拉胡爾·馬納(Rahul Mahna)認為，與團隊和管理同事一起玩情景游戲可以刺激有用的安全洞察。

例如，如果一個關鍵客戶的業(yè)務因網(wǎng)絡攻擊而關閉，會發(fā)生什么?下一步會是什么?“這種類型的事件響應計劃在我們的客戶對話中非常有價值，”Mahna解釋說。他建議，這樣的安全戰(zhàn)略對話不應該是偶爾的、一次性的討論，而應該是一系列持續(xù)的、定期的對話。

除了定期對話，Mahna建議每年舉行一次以安全為重點的會議，并結(jié)合事件響應計劃測試，使主要高管和經(jīng)理了解不斷發(fā)展的政策、實踐和角色的最新情況。

Mahna建議說，計劃在網(wǎng)絡攻擊發(fā)生時應該做什么是一項極其寶貴的資產(chǎn)，應該在運行手冊中進行實質(zhì)性的限定和量化?！斑@本書應該被共享，并提供給指定的安全團隊成員，以提供一條途徑，以便在發(fā)生安全漏洞時，能夠成功地執(zhí)行經(jīng)過深思熟慮的應對計劃?！?/p>

3、我們是否培養(yǎng)了一種安全文化?

亞馬遜網(wǎng)絡服務全球安全合作伙伴主管瑞安·奧爾西(Ryan Orsi)表示，領導者為他們企業(yè)的IT安全戰(zhàn)略定下了基調(diào)。在一種安全文化中，每個員工都感覺自己有權(quán)在經(jīng)過批準的安全護欄內(nèi)快速移動，從而帶來更快的創(chuàng)新周期、更快的業(yè)務成果以及更高的最終客戶滿意度。

Orsi說，激勵個人在定義明確的安全護欄內(nèi)創(chuàng)新和快速行動的企業(yè)是最有效的。如果你覺得你的企業(yè)在發(fā)布應用程序更新、網(wǎng)站更新和數(shù)據(jù)庫更改等項目之前打開票證請求安全團隊批準，那么你可能就沒有在安全文化中運營?！巴ㄟ^將安全文化融入整個領導層，你很可能會感受到不同。”

4、我們對新出現(xiàn)的威脅評估是否真的是最新的?

網(wǎng)絡罪犯從不睡覺;他們總是放縱和腐敗。商業(yè)管理咨詢公司摩根·富蘭克林咨詢公司的高級經(jīng)理格里芬·阿什金建議：“在IT安全戰(zhàn)略方面，必須就網(wǎng)絡威脅的新性質(zhì)進行非常直接的對話?！?/p>

阿什金警告說，最近的經(jīng)驗表明，網(wǎng)絡罪犯現(xiàn)在正在超越勒索軟件，進入網(wǎng)絡勒索。他們威脅要向外界公布企業(yè)員工的個人身份信息(PII)，使員工面臨身份被盜的巨大風險。

阿什金認為，安全領導者應該努力重新部署盡可能多的本地基礎設施資源，從而將網(wǎng)絡保護責任轉(zhuǎn)移到云提供商身上。此外，定期安排的管理層對話應導致關鍵決策，例如對增強的安全工具的潛在投資、更新的安全意識培訓材料、與最終用戶的更多溝通以提高對最新安全威脅的認識，以及應對和降低員工風險所需的任何其他相關步驟。

5、我們是否制定了真正有效的事件響應計劃?

網(wǎng)絡安全公司Camelot Secure的解決方案工程總監(jiān)扎卡里·?？?Zachary Folk)建議，每個企業(yè)都需要舉行一次聚焦于事件響應的對話。

Folk說，規(guī)劃至關重要。討論應包括企業(yè)的執(zhí)行人員，包括CIO、CISO、CTO、事故應對小組協(xié)調(diào)員和所有部門負責人。他建議，這些會議和對話應該導致制定或更新事件應對計劃。討論還應審查關鍵任務資產(chǎn)和優(yōu)先事項，評估攻擊的可能影響，并確定最有可能的攻擊威脅。

Folk說，通過將企業(yè)的風險管理方法從基于矩陣的測量(高、中或低)改為量化的風險降低，你可以根據(jù)需要將實際的潛在影響建立在盡可能多的變量上。通過使用簡單的蒙特卡羅模擬和從你的企業(yè)收集的數(shù)據(jù)，你可以為高級員工提供實際的損失、潛在發(fā)生和影響的概率。

6、我們的安全投資是否實現(xiàn)了最大投資回報?

IT資產(chǎn)可見性和網(wǎng)絡安全公司Sevco的CSO布萊恩·康托斯表示，是時候停止逃避安全ROI對話了。他指出，企業(yè)在CMDB、SIEM、SOAR、EDR、漏洞管理和相關解決方案方面投入了大量資金。

“為了實現(xiàn)這些解決方案的價值，企業(yè)需要確保流入它們的信息(如資產(chǎn)情報)是及時、準確和經(jīng)過重復數(shù)據(jù)消除的，”他說。企業(yè)級安全解決方案中強大的資產(chǎn)智能不僅能幫助你更好地降低風險，還能提高這些投資的投資回報率。

Contos說，ROI對話應該會導致安全、IT運營和GRC(治理、風險和合規(guī)性)團隊更好地了解他們的環(huán)境。它應該專注于所有好的和不好的東西，同時確定需要最快速改進的領域。然后，可以將優(yōu)先行動分配給適當?shù)膱F隊，以處理許可、流程改進、漏洞查找、安全控制可見性和監(jiān)管要求等主題。

“最終，當利用資產(chǎn)情報來豐富專注于安全、IT運營和GRC的現(xiàn)有工具的有效性時，應將降低風險和最大化ROI結(jié)合起來。”他建議說。

7、我們的財務風險究竟有多大?

也許最關鍵的IT安全戰(zhàn)略對話集中于回答一個問題：“如果我們的IT系統(tǒng)出現(xiàn)故障，我們的客戶將面臨什么經(jīng)濟損失?”

這些討論的目標應該是建立一個安全、健壯和有彈性的IT環(huán)境，一個客戶可以確保保持正常運行的環(huán)境，允許產(chǎn)品和服務不間斷地交付，托管服務和IT戰(zhàn)略公司Blue Mantis的現(xiàn)場CISO羅布·菲茨杰拉德說。

菲茨杰拉德建議，這種對話應該不少于每年一次，最好是在預算季節(jié)之前進行，這樣CIO和CISO就可以相應地制定計劃。他說，如果發(fā)生任何影響業(yè)務的重大事件，也需要在這些時間段進行對話。例如，如果一個企業(yè)打算出售一個部門或收購另一個企業(yè)，CIO和CFO有信托義務重新評估客戶在企業(yè)的IT系統(tǒng)不可用時將面臨的財務損失。

文章名稱：每個IT領導者都必須進行的七次艱難的IT安全討論
當前鏈接：http://www.dlmjj.cn/article/coodjcs.html