首席信息安全官在2022年的12個決議

可以肯定地說，今年與往年一樣，首席信息安全官仍將面臨很多挑戰，從勞動力的持續短缺到日益復雜的網絡攻擊，再到來自民族主義國家的持續威脅。然而，對于如何應對這些挑戰，首席信息安全官也有很多想法。

行業媒體為此采訪了多個行業領域的首席信息安全官，以下是他們分享和闡述的主要目標和戰略議程。

1.消除盲點

云計算軟件開發商Domo公司首席信息安全官兼IT副總裁Suyesh Karki表示，希望消除技術環境中的盲點，因為無法保護看不到的東西。

Karki解釋說，“對于我們的安全團隊來說，了解云計算應用程序、內部部署應用程序、網絡、服務、系統、數據庫、帳戶、第三方提供商等方面非常重要，以幫助加強網絡安全防御。對于所有硬件、軟件和供應鏈資產有一個完整、準確、適當的優先級的清單，使我們的安全團隊能夠采取系統的方法來了解需要保護的內容、實施哪些控制措施來保護、防御和應對任何不利事件，以及如何識別和生成能夠完整說明當前安全狀況的指標。”

2.更好地理解“相互依賴的網絡” 

軟件開發商Zendesk公司首席信息安全官Maarten Van Horenbeeck將在其公司的技術環境中更好地理解“相互依賴的網絡”作為2022年的首要目標。

他說，“我想更好地了解這一網格，以便可以采取行動，并知道如何更好地保護它。”

盡管網絡的復雜性多年來一直在增長，Van Horenbeeck表示，在過去兩年中，發生了SolarWinds和Log4j等網絡攻擊事件，讓他更加重視了解構成企業技術生態系統的所有活動部件的重要性。

為此，Van Horenbeeck對技術進行了投資，以更全面地了解自己公司的IT環境。盡管他承認完全了解供應商代碼的可能性不大，但他仍然希望更詳細地了解第三方和供應商如何與他的公司互連，以及正在訪問哪些數據，以便他的團隊可以設計安全策略來限制他們可能帶來的風險。

3.深入了解供應商的IT環境

科技廠商InfluxData公司的首席信息安全官Peter Albert也有類似的想法。他表示，希望了解供應鏈的完整范圍。

他補充說，“很多人認為供應鏈可能只是與其簽訂合同的公司，但它遠不止于此。”

例如，他想知道第三方使用的代碼中存在哪些漏洞，供應商使用哪些開源資源可能會增加風險。Albert表示，為了進一步限制風險，希望對其SaaS供應商實施更多監控，以確保他所在公司的數據在供應商的IT環境中的運營安全。

他解釋說：“我認為，人們對第三方提供商可能會監控用戶的數據存在根本性的誤解，但我們發現事實并非如此。因此，我們必須承擔部分責任，這意味著從這些提供商那里收集有關誰在訪問數據的見解。”

Albert表示，InfluxData公司的一名員工構建了一個用于獲取SaaS提供商安全日志的原型，而其他員工正在構建模型以檢測可能表明安全威脅的異常情況。

4.將平凡的事情做得最好

咨詢機構Booz Allen Hamilton公司首席信息安全官Ashley Devoto表示，希望在尋求加強整體網絡彈性的過程中，始終專注于基本面。

更具體地說，她想確保有一個強大的應用程序來快速識別和修復漏洞;有效實施補丁的良好流程;良好的員工意識和培訓;以及整個IT環境的全面可見性。

她始終信奉這一商業格言，“成功就是將平凡的事情做得最好。”她說，“這句格言引起了我的共鳴。”

她說，“黑客將繼續進行網絡攻擊，因此我們必須堅持不懈進行斗爭。通過精通安全知識，我們將提高速度和敏捷性以應對網絡攻擊。”

此外，Devoto計劃制定指標和關鍵績效指標，以衡量她帶領的安全團隊在處理這些基本問題上的效率和改進。

聯合國項目事務署(UNOPS)的首席信息安全官兼數據隱私官Niel Harper也闡述了今年的決議，并詳細介紹了將如何實現這一目標。

他希望將更多的精力和資源集中在隱私和數據上;完善和加強第三方風險管理的控制框架;提高其企業對勒索軟件的保護;并繼續向其他商業領袖宣傳電子郵件安全的重要性。

5.將安全性進一步左移

為了幫助確保她和她的團隊正確掌握安全知識，Devoto計劃更早地將安全要求嵌入到規劃和開發流程中。她說，“我正在優先擴展我們的預防控制和能力套件，因為我們在‘上游’戰斗以阻止網絡攻擊。”

有著在2022年將安全性進一步左移這樣的想法并不只有她一個人。軟件開發商Dynatrace公司發布的“2021年全球首席信息安全官”報告指出，在接受調查的700名首席信息安全官中，89%的受訪者表示微服務、容器和Kubernetes造成了應用程序安全盲點，71%的人表示不完全相信代碼在上線運營之前是沒有漏洞的。此外，85%的受訪者表示，他們認為應用程序和DevOps團隊必須對漏洞管理承擔更多責任，以有效保護企業。

6.開始擺脫對密碼的依賴

網絡安全智囊團CIBR公司首席信息安全官Grant Gibson表示，希望他的公司在今年進一步遠離使用密碼進行訪問，或者至少遠離使用密碼作為主要身份驗證形式。

他認為此舉是提高安全性的關鍵舉措。

他說：“我們處理密碼已有40年的時間，但一致認為采用密碼也會被黑客入侵。”

他說，這是意料之中的事情，很多人仍然對多個帳戶使用相同的密碼，他們會選擇簡單的密碼以確保能記住，并且當系統需要復雜密碼時，他們會將密碼寫在紙上或存儲在電子文件中——盡管經常有針對這種做法的警告。

他還指出，最近備受關注的網絡攻擊涉及密碼泄露。

Gibson表示，他正在努力實施更強大的身份和訪問管理(IAM)控制，這些控制更易于使用，但對企業來說更加安全。他承認，并沒有適合所有企業的一種萬能的解決方案。

目前，他正在自己的公司內部實施多因素身份驗證，因此密碼不是驗證用戶身份的唯一方法，他正在探索未來如何徹底消除密碼。

他說，“我們的目標是實現無密碼。而在短期內，這意味著密碼不能成為唯一的身份驗證形式。但從長遠來看，其目標是完全無密碼。”

7.提高敏捷性

萬通銀行企業網絡安全主管Ariel Weintraub表示，今年的決議是“更加靈活”。

她說，“網絡安全計劃在表現出彈性時最為成功。過去幾年的網絡攻擊表明，網絡攻擊者不斷發展他們的策略，具有彈性的能力是基于快速調整優先事項的能力。”

她解釋說：“我們正在轉向利用日常威脅和脆弱性評估能力進行持續評估，使我們能夠識別、衡量和應對新出現的威脅和風險。這意味著不必害怕暫停或終止某些計劃，并根據最新的技術和措施轉向新的計劃。不必害怕勒索軟件會破壞他們的整個基礎設施。我們將在交付新功能的方式上保持靈活性，以使其不受影響。這樣就無需花費數年時間來應對新的威脅，而當一個項目不再相關時停止，并不是一種失敗。”

8.與企業建立更好的合作伙伴關系

加強安全部門與企業的合作是Van Horenbeeck今年的另一項決議。他說，“我們已經這樣做了一段時間，今年它真正成為我們內部的首要任務。”他解釋說，加強安全性與業務的一致性將有助于各個團隊推進他們的目標。

Van Horenbeeck表示，包括他自己在內的許多安全部門已經非常擅長識別和解決企業內部的頂級風險。不過，這不會影響日常工作習慣和業務流程，這些習慣和業務流程通常會引入較低級別的安全風險，并阻礙建立具有安全意識的企業文化的努力。

與企業建立更強大的合作伙伴關系將有助于安全識別產生風險的工作流程，它還將幫助安全部門了解他們的業務同事為何重視這些流程。這種結合以及由伙伴關系培育更好的關系，應該有助于安全和業務共同尋找成功的解決方案。

Van Horenbeeck說。“這實際上是更多地關注我們的合作伙伴要去哪里，而不是告訴他們該做什么。”

9.照顧好團隊

UST公司首席信息安全官Tony Velleca表示，今年將更加關注他們的團隊和員工。

Velleca表示，根據軟件開發商1Password公司于2021年12月進行的訪問狀態研究，約84%的安全專業人員表示感到筋疲力盡。

Velleca說，隨著新冠疫情引發的不確定性和破壞性的持續，他正在尋找不僅留住人才，而且激勵人才的方法。

與許多其他公司一樣，Velleca表示，該公司的員工大多在現場工作，而近兩年由于疫情而轉為遠程工作。

Velleca說，該公司計劃讓員工重返辦公室，當然可以選擇遠程工作，他希望此舉將有助于重新激發員工的活力。

他還計劃將重點放在創新項目上，以提高員工的興奮度，并將部署更多自動化設備，將員工從重復性任務轉移到更具吸引力的更高級別任務。

10.招募新人才

MongoDB公司首席信息安全官Lena Smart希望幫助解決安全方面的人才短缺問題，并決定在2022年招聘安全方面的人才。

Smart說，“我計劃繼續在指導和支持外部信息安全社區方面發揮積極作用。”

她說：“作為首席信息安全官，我經常從同事那里聽到招募人才的難度。雖然填補信息安全職位肯定競爭激烈，但我們已經看到，從找到具有正確特征的人員并幫助他們了解技術細節的過程中，我們取得了真正積極的成果。”

11.清除多余工具和功能

Oracle公司客戶服務副總裁兼首席信息安全官Brennan P.Baybeck表示，計劃清理沒有提供價值的多余工具和投資，并確定未充分利用的功能。

他說，“我認為現在是盤點的好時機，看看我們有什么可用的工具，在疫情發生之前我們有什么資源，積累的東西或冗余的功能，并消除那些不符合規定的流程和技術戰略。”

Baybeck表示，他計劃不僅在安全運營中采用這種方法，而且還與他的員工一起采用這種方法。他已經看到員工所需的技能發生了變化。因此，他正在花時間重新評估職位，以確定哪些專業人士需要哪些新技能以及哪些角色需要發展。例如，他決定將一些以合規性為重點的空缺職位轉變為專注于提供更多自動化、控制和開發安全工作的工程和開發人員工作，而所有這些都比合規性的工作職位更能滿足企業當前和未來的安全需求。

12.為未來做好準備

Tiro Security公司首席信息安全官兼首席技術官Jenai Marinkovic也展望了未來，她表示，2022年的主要職業目標是讓安全人員為未來世界做好準備。

她認為需要解決三個主要問題。

首先，她想讓安全人員準備好工作并參與智能生態系統(例如元宇宙)并保護它們。這意味著了解如何在這個新世界中互動、交流和呈現;這也意味著了解技術和使用它的人員是如何運作的，以便可以預測和解決安全問題。

其次，她希望幫助員工擅長溝通和協作，作為團隊的一部分工作，以及理解以用戶為中心的設計。

第三，她希望安全專業人員更加關注業務連續性，以便能夠分解業務流程和支持它們的系統，因為真正擅長這些將是應對網絡攻擊事件的關鍵。

Marinkovic已經開始在這三個廣泛的需求領域內培訓團隊，通過Tiro Security公司提供虛擬首席信息安全官服務。GRCIE公司是一家非營利公司，為美國各地的女性和退伍軍人提供指導和心理支持。

她補充說，“我們的目標是讓員工為即將到來的未來做好準備。”