安全专家新年想要什么

安全专家新年想要什么

每年的这个时候,我们都会问不同行业的安全主管,他们希望在假期愿望清单上写些什么。

我们收到的一些回复是纯粹的幻想。例如,一位安全主管要求提供技术工具,这些工具可以解决所有主要的安全威胁,而且不需要花费任何费用,而且具有一流的7x24x365支持,响应时间在15分钟内!

提交的大多数愿望都更接近现实,如果各种因素协调一致,有些愿望甚至可能实现。因此,随着又一年即将结束,我们再次列出了安全管理人员在继续执行保护组织系统和数据的任务时所希望看到的内容。

大卫巴顿,CISO,韦森

“综合安全工具。CISO面临着越来越复杂的安全工具,它们不能很好地相互沟通和协作。 对于2016年,我希望更多的安全产品能够使用基于标准的共享(如STIX和TAXI)进行交谈和交流。

“会议室的保安。太多的ciso被降级为只有在出现危机时才有意义。 安全属于董事会会议室、高管战略会议、许多业务规划流程和业务运营。 我对2016年的期望是CISO在董事会层面更具知名度,我们可以提供建议/指导,使企业能够以安全的方式取得成功。

“强调科学。信息安全专业人员在世界范围内供不应求。这个问题会越来越严重,直到我们能够让年轻人在高中和大学里从事科学研究。如果这一趋势得不到扭转,我们将没有足够的安全专业人员来保护对我们来说很重要的数据。对于2016年,我的愿望是让各级教育对科学产生更多的兴趣,让更多的技术学科大学毕业生,让更多拥有技术学位的人以信息安全为职业。”

Mary Chaney,强生全球信息安全总监

“我最大的愿望是让我的魔杖发挥作用,确保所有应用程序和数据库的安全!

“对于公司如何在网络、应用程序和数据库级别处理和管理漏洞,需要转变思路。漏洞反映了一个组织所面临的实际风险,顺便说一句,这是任何业务最重要的一个因素。

“信息安全是在IT时代成长起来的,多年来,专业人士一直认为,加固的网络才是答案。我们围绕传统网络防御建立了完整的信息安全计划。那已经不行了。作为专业人士,我们需要转变思想,关注技术与风险之间的联系。

“从一级分析师到董事会的每个人都需要了解,攻击者已经从暴力攻击类型的网络攻击转移到了应用程序和数据库级别,真正的数据就在那里。

【另见CSO:2015年顶级安全故事】

“一个巨大的聚光灯需要照亮您环境中的实际风险,这意味着未修补和不安全的应用程序和/或数据库。一旦你找到了这些答案,你将能够建立一个安全计划,通过有意识的努力和对风险的理解,战略性地将时间、精力和金钱投入到保护业务中。”

Erkan Kahraman,CSO,Planview公司

“去年,我曾希望遵守这一规定,而我在结束本季度的工作时,就有了实现这一目标的满足感。明年,我希望能找到合格的信息安全专家加入我不断成长的团队。他们现在很难找到!”

杰森·陶勒, CSO,FEI系统

罗伯特J。幸灾乐祸, CISO和基础设施服务总监,1901集团

“当我坐在堪萨斯城机场接近12个小时的延迟起飞前,我希望传送!

应用安全工程的重点。防止利用关键功能有多重要?为什么在系统实现发生后,或者更糟的是,在发现并确定利用漏洞后,安全性仍然是作为一个插销开始的?在支持联邦、零售和国防部的安全方面,同样的重复错误似乎继续发生在系统工程过程中。

“虽然产品选择和采购过程自然应该从经过安全测试并向供应商索赔证明的产品开始,但在监测、管理和支持方面对安全方法的考虑同样必须得到证明。安全工程在设计中的应用必须朝着处理恶意威胁和生存能力的制衡方向发展。系统和安全需求的识别必须是健全流程的一部分,有助于安全基线开发和需求文档的编制,以确保总体实施可以根据需求、风险和任何剩余风险的考虑进行技术映射。

“更多的时候,我们希望跟上步伐,通常在解决方案上走得太快,而没有检查需求。在不考虑安全工程的情况下,只考虑最底层的资金,通常会消耗掉通过技术修改来加强安全性的成本,并找出满足法规遵从性要求的方法。通过声音选择和驱动应该通过声音安全工程启用的安全特性和功能更容易工作。

戴夫·达尔瓦,Stroz Friedberg的副总裁,为几位客户担任CISO的角色

“我希望董事会和领导团队能够更好地认识到,信息安全风险管理应被视为企业风险,等同于财务、声誉和法律风险。通常,这些涉众只有在自己或他人受到攻击之后才意识到安全风险。我希望看到他们越来越主动地了解安全风险对业务的影响,以及为什么文化对良好的安全风险管理计划如此重要。”

杰森·陶勒, CSO,FEI系统

“我怀疑,如果我们的任何要求都能实现的话,我和去年在那几天许下愿望的其他CSO一样。 我不认为这是因为我们是坏的,发现自己在圣诞老人的调皮名单,而是我们所追求的项目超出了精灵在他的工作室的创造力。 因此,就像一个年复一年希望做同样事情的孩子一样,我仍然非常喜欢一个“暂停”按钮,让我有时间跟上业务发展,以及一个神奇的平衡表,帮助我在业务需求和我们的风险敞口之间达成完全正确的妥协。

“然而,除此之外,我的愿望清单上真的只有一个额外的项目。我真正想要的是新的G.I.乔式的军事行动人物,也就是所谓的可行动情报。 我们行业的艺术和实践已经发展到这样一个地步:我们拥有大量的工具和技术来捕获和评估威胁数据。但我们是自己成功的牺牲品。试图对所有事情做出反应是不切实际的,而能够及早发现事情,阻止未经授权的东西方交通,并及时做出反应,这一点前所未有的重要。忘了干草吧,现在要做的就是在针堆里找到针。”

Curtis Dalton,Pactera美国公司高级副总裁、首席信息风险和安全官

“跨企业系统资源的更强大的行为分析能力,可以及早发现滥用。从董事会到首席信息官都明确支持他们降低风险的承诺水平,并在预算上保持一致,以符合风险预期。”

Roland Cloutier,副总裁兼CSO,自动数据处理

“我希望圣诞老人安全技术部门的建筑师、工程师和产品设计专家正在考虑开发一个自动化控制平台。从决策支持到控制验证[视角],甚至作为审计管理的一个组成部分,我所负责的现有控制有效性的有效透明度和可测量性的能力将是一个巨大的资源杠杆。想象一下,能够查看一个活动控制台或报表,该控制台或报表指示我所有控件的当前操作级别,并使我能够了解它们的需要、有效性以及分发、合并或删除的机会。是的,我知道圣诞节我想要什么。”

这篇题为“安全专家新年愿望”的文章最初由

CSO。