前白宫CIO就网络安全给企业支招

标签:CIO安全企业安全

访客:25515  发表于:2013-08-02 10:30:43

      最近在美国召开的CEO-CIO研讨会上,网络安全和数据隐私成为在最热门的讨论话题。随着网络犯罪的日益猖獗,企业被攻击的次数也越来越多。企业的业务部门开始向CIO和IT部门寻求解决方案,CIO又该如何回应这样担心呢?白宫前CIO、现就职于网络安全公司Fortalice LLC的CEO Theresa Payton女士,分享她对企业网络安全的建议。

我们该如何构建安全系统?企业在利用网络提升生产效率的同时又该如何控制潜在的风险?——这个讨论还将继续下去。

最近我看一份关于CIO和CEO就安全问题的研究报告,觉得有个现象很有趣。一方面,在报告中,CIO通常会说:“我向CEO汇报了安全方面的工作,或者我向董事会介绍了安全方面的状况。”但,报告接着就发现,当询问CEO们如何得到企业网络安全的报告时,只有三分之一的CEO表示他们记得看过CIO的报告。

我认为,CIO如何和上级沟通很重要,这种沟通不仅仅是安全报告上的专业术语堆积,而应该是关于安全对企业业务发展影响的分析和对策。

我觉得应该去重新审视企业今年的战略目标,是三大主要战略还是五个?从这些战略目标是寻找到哪些与网络安全相关的议题。这样,你在报告里就可以通过谈论企业今年的战略目标,引导到对网络安全的担忧和应对计划。在和董事会的汇报中,你需要站在董事会的角度去看待网络安全问题,让他们了解:只有这些网络安全问题得到解决,企业的效益才能得到最大的提升。

其中一个领域便是近几年来炒得火热的社交媒体平台。很多企业并没有意识到这一点。首先使用社交媒体的是员工,其次再是企业。企业缺乏一些诸如“如果不是为了营销,那么不要使用社交媒体”的政策。

我来举个案例:我们只是利用社交媒体,就猜测出一家公司数据中心的架构。我们首先从社交媒体LinkedIn开始进行猜测,那里有该公司员工的详细简历,接着我们又搜索到留言板和博客上的信息。这些都是可以查到的公开信息,通过对这些信息的重组和分析,得出这家公司的数据中心架构。由此可窥这家企业在社交媒体上所面临的风险。

市场上又很多关于安全的产品。购买最新的产品,可以有效的防御风险。我认为这是必须的,但这并不全面和整体化。我希望安全产品供应商,尤其是企业级的供应商,应该展示出其产品如何作为整体解决方案的一部分,而不能将它看成一个拼字游戏:“因为你有预算,所以必须买我的产品。”

作为安全产品供应商,真正需要思考的是从企业战略的层面考虑安全性的问题,告诉你的客户:“你应该了解到你们目前面临的风险,这些风险可能会对你的企业架构产生重大影响,而我们可以帮助你们解决这些风险”。在谈判桌上,你无需将竞争对手贬得一文不值,而只需告诉你的客户,你能提供的产品和服务可以最大限度的融入企业战略中,给企业发展保驾护航。

通常企业的内部培训由HR组织,进而转变成企业文化的重要部分,那么安全方面的培训也是如此。这不仅仅是安全小组的份内事情,而应该变成企业文化的一部分。它不应该是一年一度的自我检查,而应该是日常工作。培训的第一阶段是对员工个人行为的关注,因为他们对自己的所作所为更清楚,也会对做过的哪些事情有印象。如果你可以训练他们懂得如何在日常生活中加强安全和保密意识,那么他们在工作中也会有注意安全的良好习惯。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");