CIO在第二界“网络犯罪成本”研究的笔记

标签:CIO职场企业安全

访客:17619  发表于:2012-04-26 16:16:04

亲爱的CIO和CISO们,让我为您总结一下这个调查的结果,主要是以下两个要点:

您很可能遭遇黑客攻击或遭到破坏

您的恢复成本会持续增加

在全球经济低迷的情况下,如果您是一位正在查看这部分预算的CIO或CISO,以上两点可能会让您担心。不管您是否关心安全问题,事实是您很可能遭遇黑客攻击或受到破坏,并且这将会让您比去年平均花费多支出70%。让我们来面对这个问题,我们把这个游戏贴上了“安全”的标签,但它真的不完全是关于安全的,不是吗?这是关于风险和当犯罪分子袭击时避免给您的业务带来额外的和不可预见的支出。

和解、被黑或破坏的费用(不管您的律师如何叫它)比1月份蒙大拿州下的雪还要多。无论是把您所有的IT资源从现有的项目转移到之前的正常业务费用,还是法律费用、强制性报告等等等等,总的来说一句话:您承担不起。

那么您可能在想反正一切信息都丢了,花费又是天文数字,最好就是等着悲剧不可避免的发生,对吗?可能不是的,就我所知很多读过我的报道的人完全不是这样想的。对于其余的人来说,这里有一些建议,这些建议给我在华盛顿惠普保护部门的整整一周加入了一个很棒的驱动。下面是当血溅到水上时您可以做什么来让鲨鱼继续待在海湾里。

拥有一个出色的安全策略 – 网络上有很多企业安全策略出色框架的示例。您应该至少拥有一个得到企业批准的,进行了法律和风险审核,并且被员工、合作伙伴和任何其他相关人员接受和理解的策略。

保护您的应用系统 –您已经听到公司负责安全的员工谈论突然消失的网络边界很多年了,现在这成了事实。您要求公司员工可以在任何地方、任何时间和任何设备上办公 – 这一切都是需要花费的。在信息安全上我们叫它“安全债务”,意思是当初提出的便捷服务无疑会在很久以后最想不到的时候为我们带来花费。您的应用系统应该在编写第一行代码,不,在第一个业务需求的时候就带着安全意识来写。不管您是在写将用在ipad或安卓手机等移动设备上的程序,还是为云在写,这把我带到了下一个建议。

拥抱云 – 如果您还在采用云计算上犹豫不决,您已经错过了大好时机。不好意思把这个坏消息带给您,但是您的员工、研发者和项目经理可能在很久以前就开始用您甚至无法预料和可能不会有问题的方式使用云了。从安全和风险的角度来看,当我们谈论云计算时游戏规则完全改变了。实际上,让我说说另外一面,游戏并没有完全改变,一直以来我们在安全方面的做法都是错误的,但我们有其他机会来“把它变正确”,尽管通过过去的一些迹象我还没有看到很大的成功。

获取情报 – 我一整周都在针对这个话题做采访。等我得到所有人的许可时下周晚些时候我会把采访发布在我的个人惠普博客上,但是“安全情报”这个词还是被广泛的误解和利用不足。不管您指的是知道自己的公司正在发生什么,了解自己公司连接到互联网上的主机声誉,或者检查您的应用系统和数据存储内的交易 – 如果您不从所有收集的数据中积累情报,那么您就是在浪费金钱和浪费机会。如果您没有一个合作伙伴可以帮您做这些,为什么呢?

全力以赴 – 当涉及到业务安全和风险时,您必须利用已经有的技术和那些尚未购买的技术一起努力来解决问题。孤岛的时代已经过去了,如果您还没有认真地使用企业安全情报(ESI)作为运营安全项目的真正目标,那么您将有一些工作要做了。如果您的IPS能阻断针对您的web服务器的攻击当然很好,但这个应用系统对您的业务重要吗、对攻击是百毒不侵的吗、并且那个阻断保护了您的应该系统吗?您怎么知道?这是您应该问IT安全员工的一个很重要的问题。

以上就是我的几点建议。我肯定我没有粉碎您的安全观,因为大多数CIO和CISO基础都打得很好,事实上我们不可能永远是安全的,但您可以规避风险和做好准备。我们并不指望“保护所有的攻击”,就像过去那些非常酷的蛇油安全产品在营销中所描述的,但我们绝对应该有足够的智慧知道最大的风险在哪里,何时受到攻击和我们什么时候该按下那个大大的红色紧急按钮。

原文作者: Rafal Los

原文链接:http://www.enterprisecioforum.com/en/blogs/wh1t3rabbit/cio-cliff-notes-2nd-annual-ponemon-quotcost-cyber-crimequot-study

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");