最近在美国召开的CEO-CIO研讨会上,网络安全和数据隐私成为在最热门的讨论话题。随着网络犯罪的日益猖獗,企业被攻击的次数也越来越多。企业的业务部门开始向CIO和IT部门寻求解决方案,CIO又该如何回应这样担心呢?白宫前CIO、现就职于网络安全公司Fortalice LLC的CEO Theresa Payton女士,接受了TechTarget记者的专访,分享她对企业网络安全的建议。
TechTarget:近期媒体曝光了一系列网络攻击事件,网络安全已经成为本次研讨会上的重要议题,您认为企业CIO们该如何应对?
Theresa Payton:我也留意到这次会议的变化。我认为这是一种非常有益的趋势——可以再更广的范围内讨论网络的风险和安全。我们该如何构建安全系统?企业在利用网络提升生产效率的同时又该如何控制潜在的风险?——这个讨论还将继续下去。
最近我看一份关于CIO和CEO就安全问题的研究报告,觉得有个现象很有趣。一方面,在报告中,CIO通常会说:“我向CEO汇报了安全方面的工作,或者我向董事会介绍了安全方面的状况。”但,报告接着就发现,当询问CEO们如何得到企业网络安全的报告时,只有三分之一的CEO表示他们记得看过CIO的报告。
我认为,CIO如何和上级沟通很重要,这种沟通不仅仅是安全报告上的专业术语堆积,而应该是关于安全对企业业务发展影响的分析和对策。
TechTarget:你在这方面有没有具体的建议?
Payton:我觉得应该去重新审视企业今年的战略目标,是三大主要战略还是五个?从这些战略目标是寻找到哪些与网络安全相关的议题。这样,你在报告里就可以通过谈论企业今年的战略目标,引导到对网络安全的担忧和应对计划。在和董事会的汇报中,你需要站在董事会的角度去看待网络安全问题,让他们了解:只有这些网络安全问题得到解决,企业的效益才能得到最大的提升。
TechTarget:那么企业在哪些方面可能会遇到网络安全问题?他们又该怎样应对?
Payton:其中一个领域便是近几年来炒得火热的社交媒体平台。很多企业并没有意识到这一点。首先使用社交媒体的是员工,其次再是企业。企业缺乏一些诸如“如果不是为了营销,那么不要使用社交媒体”的政策。
我来举个案例:我们只是利用社交媒体,就猜测出一家公司数据中心的架构。我们首先从社交媒体LinkedIn开始进行猜测,那里有该公司员工的详细简历,接着我们又搜索到留言板和博客上的信息。这些都是可以查到的公开信息,通过对这些信息的重组和分析,得出这家公司的数据中心架构。由此可窥这家企业在社交媒体上所面临的风险。
TechTarget:市场上的安全供应商在提升企业安全方面有些可以尝试的工作?
Payton:市场上又很多关于安全的产品。购买最新的产品,可以有效的防御风险。我认为这是必须的,但这并不全面和整体化。我希望安全产品供应商,尤其是企业级的供应商,应该展示出其产品如何作为整体解决方案的一部分,而不能将它看成一个拼字游戏:“因为你有预算,所以必须买我的产品。”
作为安全产品供应商,真正需要思考的是从企业战略的层面考虑安全性的问题,告诉你的客户:“你应该了解到你们目前面临的风险,这些风险可能会对你的企业架构产生重大影响,而我们可以帮助你们解决这些风险”。在谈判桌上,你无需将竞争对手贬得一文不值,而只需告诉你的客户,你能提供的产品和服务可以最大限度的融入企业战略中,给企业发展保驾护航。
TechTarget:通常安全问题追根溯源都是人为疏忽,并非恶意所为,比如你的员工不该下载东西等,像这些的话都是缺乏对员工的教育。你觉得在企业内部谁是最适合将这些“禁令”信息传达给员工的人?他们又该采取哪些举措?
Payton:我觉得这取决于公司的规模。可能董事会中没有一个专门负责教育和培训的领导,但如果你可以找到一个沟通方面的好手与企业安全专家一起工作,那无疑是最好不过的了。他们可以帮助开发一种对员工更友好、更自动化的安全提醒机制,但要记住,不要过度渲染这件事,而是要将其纳入企业文化和基因中。
通常企业的内部培训由HR组织,进而转变成企业文化的重要部分,那么安全方面的培训也是如此。这不仅仅是安全小组的份内事情,而应该变成企业文化的一部分。它不应该是一年一度的自我检查,而应该是日常工作。培训的第一阶段是对员工个人行为的关注,因为他们对自己的所作所为更清楚,也会对做过的哪些事情有印象。如果你可以训练他们懂得如何在日常生活中加强安全和保密意识,那么他们在工作中也会有注意安全的良好习惯。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
混合IT环境需要混合网络安全
随着越来越多的企业转向云和本地的组合系统,保护混合IT环境中的数据,需要重新审视网络安全战略。
-
CIO力求将云指标与业务价值相结合
随着CIO获得云计算的经验,他们使用的云指标也发生改变。本文介绍一位CIO在决定使用哪些云服务时,将业务价值列为首要任务。
-
成名三步曲:CIO如何化身为优秀的商业领袖
CIO们深受商业同行信赖,他们对业务理解深刻,同时也是企业进行数字转型的驱动力。具有商业头脑并长期被誉为卓越IT领导者——现在是必不可少的CIO生存角色。
-
《CIO决策世界》2016年11月刊:企业协作领域:Facebook价值何在?
企业级协作工具并不是全新的事物:近十年里,企业级2.0技术一直在尝试孕育员工的协作和参与。现在Facebook发布了Workplace,10亿用户所使用的社交平台能够统治企业级合作市场吗?