7 2019年CISO风险管理优先事项

让我们诚实,成为一个CISO在公园里没有散步。对于初学者来说,由于外部(黑客)以及内部威胁,到处都存在威胁。敏感数据,包括财务和客户数据,都存储在数据中心,工作站,移动设备和云基础架构中。维护这些系统远远容易。行业规则和政府法规是艰难的,恶意黑客始终发现渗透内部网络的新方法,颠覆进入IOT,通过网络钓鱼诈骗,恶意软件或赎金危害工作场所。与此同时,您需要说服您的客户,保险公司和监管机构都是安全的。 最高30安全框架的CISO终极指南 - 2019.

风险管理优先事项

对于CISO,这转化为基于大图片的设置优先级。如维护您的客户的信任并将组织的名字从头条新闻中留出。为了实现这一目标,有7个基本领域,安全管理人员应该在2019年花费他们的时间和资源。

1.开发安全文化

公司的文化必须与政策和最佳实践一起携手共进。组织内的每个人都必须对安全承担一些责任。 Cisos应该强调使用云技术快速发展的推动力。

2.安全和风险管理

  • 治理和资源要求
  • 安全框架
  • 数据保护& training/awareness
  • 作为外包增加,内幕威胁和第三方安全实践增加。

3.Cloud服务

  • 云策略
  • 正确选择服务和部署模型
  • 可扩展和弹性的IT启用功能作为利用互联网技术的服务提供

4.介绍所有平台的威胁性能

一个人无法确保一个人无法看到的东西。在企业内实现共同的操作图片(COP),因此您的组织可以完全了解数据在整个网络出口和入口点。具有跨多个应用程序/云服务的数据传播,有时会开启 未经授权 服务极大地影响了CISO统一知名度的能力。

5.GRASPRASP

由于云计算,移动设备和物联网,周长是一个古老的概念。安全性和它应该改变他们对流量,可信用户和私有云之间的单个分界点的想法的假设。 Cisos现在正在使用新的策略来管理这些周边。某些选项是新的身份和访问管理系统,可在企业中整合身份,并进入云,下一对防火墙和攻击检测/分析系统,这些系统可以租用精制的混合攻击。

6.云中的管理安全性

员工可以在免费的文件共享平台上存储和分享机密业务信息,如Dropbox,OneDrive或Google Drive。例如,基于洛杉矶的员工开始从海外获得公司的基于云的企业财务管理,并将金融交易流程比正常高五倍。 Cisos现在正在投资检测这些攻击的系统,并采取措施,迫使使用 双因素 身份验证和强大的身份加上访问管理策略。

7.与IT运营进行Aligh Secops

Secops经常专注于它以实现其目标。 Secops建立了策略,标识漏洞和任何错误配置,然后将其推送应用修补程序,利用基线配置和通过更改和控制过程进行更新。 CisoS应包括Devops进入对话,因为当OPS必须在应用补丁之间选择,即Secops需要,或提供Devops需求的关键应用程序和基础架构。 Cisos应该期望他们优先考虑 Devops的需求。这是一个相互矛盾的优先事项,资源有限和支持业务增长问题。