在McAfee公司,Grant Bourzikas主要负责保护该网络安全公司:他是这家安全技术提供商的首席信息安全官。Bourzikas称,近年来,CISO这一角色已经变得更加复杂。主要是因为“保护网络边界”的旧做法已经不再适用。他表示:“网络边界正在逐渐消失,现在我们面对的网络本质上就不安全。”
这些快速发展的威胁使得强大的企业范围的网络安全文化对现代公司的数据保护至关重要。在这个由两部分组成的问答环节的第二部分中,他讨论了这种文化应该是什么样以及不断变化的网络安全风险如何改变安全专业人员所需的技能。
从贵公司的性质来看,您是否面临着日益严峻的网络安全风险?换句话说,贵公司是否会必其他公司更有可能成为攻击目标?
Grant Bourzikas:我们是目标。我们看到很多有针对性攻击以及很多复杂的事情。但我们拥有世界上最优秀的开发人员、工程师和产品管理人员,这是我工作中最酷的事情之一。我可以调用这些最优秀的人来帮助我们抵御威胁。
我们已经建立的另一件事是,当我们看到风险时,我们可利用自己的产品或者提出创新产品,然后,基于我们在内部和外部看到的攻击将产品推向市场。
您谈论到网络安全文化的重要性,以及安全是每个人的工作。这些并不是新想法,但并没有完全被所有企业接受。在您的企业,您正在做些什么来改变这一点?
Bourzikas:所有新员工都需要宣读McAfee的承诺,“我们致力于让世界远离网络威胁”。在他们就业之初开始,这就让他们了解McAfee的网络安全文化。我们的员工是第一道防线,无论攻击是基于网络钓鱼还是社会工程学。我们拥有出色的技术,但我们需要知道员工是否在做一些可疑的事情。我们希望业务人员询问有关可疑的交易。你需要将这两件事放在一起:系统以及你双眼看到的可疑行为。这些经常被忽视,从安全的角度来看。
但是,困难之处是,从网络安全角度来看,企业中每个人都有着不同程度的复杂性。如果你与工程师交谈,他们会有与人力资源部门或财务部门不同的立场。因此,当你在考虑培训时,必须确保个人或部门层面的理解力。我与财务部门的对话不同于我与IT部门的对话,也不同于与询问如何向其董事会沟通安全需求的客户的对话。这是一种有针对性的沟通。
您谈到利用游戏和其他技术来培训下一代安全专业人员,在这方面您具体在做什么?
Bourzikas:当你看看人才供应链再看看我们正在做的游戏工作时,你会发现,我们正在努力吸引人们加入这个多元化的行业。在我看来,多元化是思想的多元化。在过去20年里,我们的行业遭遇过一些失败,如果我们继续招聘相同的人,我们最终仍然会得到相同的结果。
我们需要不同的技能集,而其中之一是游戏。游戏玩家对技术和计算机以及事物工作原理感兴趣,他们充满好奇心,而这些事网络安全人员需要的特质。当人们问我认为网络安全最重要的技能是什么时,我认为是学习的愿望和好奇心。我们寻找游戏玩家,我们试图在我们自己的系统内进行游戏,无论是桌面演练还是红色团队蓝色团队渗透测试。
在网络安全风险和网络安全总体方面,你认为未来趋势是什么?
Bourzikas:我会向你指出两个方向:商业和技术方面。第一:我认为中期选举将会很有趣。我们已经看到上次总统选举中全国性的参与度。
另一件事情我认为在今年、明年和后面都非常有价值:在网络安全领域中对数据的利用。看看我们走过的足迹:超过4亿终端(McAfee客户、企业和消费者)。通过利用我们的数据来保护客户对我们的工作至关重要。在未来几年,转变将会是在网络安全领域利用更多数据科学来实现更好的能力。
您最初是一名注册公共会计师,这种背景如何增加您的网络安全能力?
Bourzikas:会计背景可帮助我将网络安全和技术术语转化成财务条款和业务风险。由于会计背景的原因,我一直都能做到这一点,从业务的角度来看,这对我有所帮助。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国