据Paul Watts,Ciso为Domino's Pizza,英国披萨,英国和爱尔兰的Ciso表示,虽然普通智慧已经认识到人员,流程和技术的结合,但许多公司仍然主要集中在技术上。
“他们还专注于箱式滴答和合规性,但这并不一定是良好的安全性,这需要良好,基本的网络卫生和建立安全文化,”他在伦敦告诉InfoSecurity Europe 2018。
“世界的所有合规性和认证都无法替代网络防御的坚实基础,即使CISO有一系列认证,我也知道由笔测试人遭到破坏的组织,并且他已经实施了一系列高位-Grade安全控制。“
在纸上,组织看起来很坚固,说瓦特,但笔测试人员能够通过社会工程员工在一小时内访问敏感公司数据,发现网络上的未受保护的密码,并轻松地移动,因为技术人员使用相同的密码他的密码安全为他的个人账户。
成功的公司表示,瓦特,瓦特(Watt)是那些不仅认识到人与人口的关键的人,而且通过与企业合作,了解如何以及其人民的工作和投资安全培训和认识计划。
“通过了解业务以及人们如何工作,安全团队可以与企业合作,成为推动者,确保他们不会阻止人们从事工作,因为然后他们会立即找到其他方法来做事情,这是不可避免的不太安全,“他说。
瓦特表示,业务和IT安全之间的更好沟通意味着IT安全团队了解对业务至关重要的服务。
“当它安全意识到这些东西时,他们可以确保在进行必要的IT安全维护过程时可以确保可防止备份服务,以防止在业务流程中进行任何中断,例如,”他说。“这种围绕机密性,完整性和可用性进行诚实对话的方法确保了更好的安全性,任何人都没有任何意外。”
信息安全团队还需要与董事会进行聘用,那些通常发现董事会更有可能支持安全项目的人,因为他们了解瓦特所说的相关业务风险和福利。
“与董事会接触的另一个重要原因是,未能这样做并围绕网络风险进行通信可能会产生一切正常的错觉,这是一个很大的错误,”他说。
“诚实很重要。与董事会合作,确保他们了解所识别的所有网络风险的业务影响。“
瓦特表示,IT团队倾向于避免与商业和董事会进行对话的区域是遗留设备,软件和系统的问题。
“董事会和业务需要了解维持遗产的实际成本,这通常比他们的想法更大,以及出汗资产超出支持到期后的安全影响,”他说。
“董事会需要明白,出汗资产通常意味着风险累积,因此通过谈话,董事会知道,当需要投资通常具有更好的安全设施的新套件时,没有惊喜。”
云是IT安全团队需要与诚实对话的另一个领域,说瓦特,确保业务可以通过确保早期有良好的管理流程来利用云计算的效率和成本效益而不会失去控制。
总之,WATTS建议组织对风险透明,并且在网络安全风险和奖励之间具有强大的平衡。
“拥有一个良好的网络安全文化,花费比例的时间,金钱和能源在教育组织中的教育,最后得到董事会的买入,”他说。“是透明的,定期与他们沟通,并确保他们了解风险和奖励。
“当您运行IT服务组织以获得业务的利益时,所有这些事情都会推动关于更好更卫生的重要谈话。”
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。