可以肯定地說，今年與往年一樣，首席信息安全官仍將面臨很多挑戰(zhàn)，從勞動力的持續(xù)短缺到日益復(fù)雜的網(wǎng)絡(luò)攻擊，再到來自民族主義國家的持續(xù)威脅。然而，對于如何應(yīng)對這些挑戰(zhàn)，首席信息安全官也有很多想法。

行業(yè)媒體為此采訪了多個行業(yè)領(lǐng)域的首席信息安全官，以下是他們分享和闡述的主要目標和戰(zhàn)略議程。

1. 消除盲點

云計算軟件開發(fā)商Domo公司首席信息安全官兼IT副總裁Suyesh Karki表示，希望消除技術(shù)環(huán)境中的盲點，因為無法保護看不到的東西。

Karki解釋說，“對于我們的安全團隊來說，了解云計算應(yīng)用程序、內(nèi)部部署應(yīng)用程序、網(wǎng)絡(luò)、服務(wù)、系統(tǒng)、數(shù)據(jù)庫、帳戶、第三方提供商等方面非常重要，以幫助加強網(wǎng)絡(luò)安全防御。對于所有硬件、軟件和供應(yīng)鏈資產(chǎn)有一個完整、準確、適當?shù)膬?yōu)先級的清單，使我們的安全團隊能夠采取系統(tǒng)的方法來了解需要保護的內(nèi)容、實施哪些控制措施來保護、防御和應(yīng)對任何不利事件，以及如何識別和生成能夠完整說明當前安全狀況的指標?！?/p>

2. 更好地理解“相互依賴的網(wǎng)絡(luò)”

軟件開發(fā)商Zendesk公司首席信息安全官Maarten Van Horenbeeck將在其公司的技術(shù)環(huán)境中更好地理解“相互依賴的網(wǎng)絡(luò)”作為2022年的首要目標。

他說，“我想更好地了解這一網(wǎng)格，以便可以采取行動，并知道如何更好地保護它?！?/p>

盡管網(wǎng)絡(luò)的復(fù)雜性多年來一直在增長，Van Horenbeeck表示，在過去兩年中，發(fā)生了SolarWinds和Log4j等網(wǎng)絡(luò)攻擊事件，讓他更加重視了解構(gòu)成企業(yè)技術(shù)生態(tài)系統(tǒng)的所有活動部件的重要性。

為此，Van Horenbeeck對技術(shù)進行了投資，以更全面地了解自己公司的IT環(huán)境。盡管他承認完全了解供應(yīng)商代碼的可能性不大，但他仍然希望更詳細地了解第三方和供應(yīng)商如何與他的公司互連，以及正在訪問哪些數(shù)據(jù)，以便他的團隊可以設(shè)計安全策略來限制他們可能帶來的風(fēng)險。

3. 深入了解供應(yīng)商的IT環(huán)境

科技廠商InfluxData公司的首席信息安全官Peter Albert也有類似的想法。他表示，希望了解供應(yīng)鏈的完整范圍。

他補充說，“很多人認為供應(yīng)鏈可能只是與其簽訂合同的公司，但它遠不止于此?！?/p>

例如，他想知道第三方使用的代碼中存在哪些漏洞，供應(yīng)商使用哪些開源資源可能會增加風(fēng)險。Albert表示，為了進一步限制風(fēng)險，希望對其SaaS供應(yīng)商實施更多監(jiān)控，以確保他所在公司的數(shù)據(jù)在供應(yīng)商的IT環(huán)境中的運營安全。

他解釋說：“我認為，人們對第三方提供商可能會監(jiān)控用戶的數(shù)據(jù)存在根本性的誤解，但我們發(fā)現(xiàn)事實并非如此。因此，我們必須承擔部分責任，這意味著從這些提供商那里收集有關(guān)誰在訪問數(shù)據(jù)的見解?！?/p>

Albert表示，InfluxData公司的一名員工構(gòu)建了一個用于獲取SaaS提供商安全日志的原型，而其他員工正在構(gòu)建模型以檢測可能表明安全威脅的異常情況。

4. 將平凡的事情做得最好

咨詢機構(gòu)Booz Allen Hamilton公司首席信息安全官Ashley Devoto表示，希望在尋求加強整體網(wǎng)絡(luò)彈性的過程中，始終專注于基本面。

更具體地說，她想確保有一個強大的應(yīng)用程序來快速識別和修復(fù)漏洞;有效實施補丁的良好流程;良好的員工意識和培訓(xùn);以及整個IT環(huán)境的全面可見性。

她始終信奉這一商業(yè)格言，“成功就是將平凡的事情做得最好?！彼f，“這句格言引起了我的共鳴?！?/p>

她說，“黑客將繼續(xù)進行網(wǎng)絡(luò)攻擊，因此我們必須堅持不懈進行斗爭。通過精通安全知識，我們將提高速度和敏捷性以應(yīng)對網(wǎng)絡(luò)攻擊?！?/p>

此外，Devoto計劃制定指標和關(guān)鍵績效指標，以衡量她帶領(lǐng)的安全團隊在處理這些基本問題上的效率和改進。

聯(lián)合國項目事務(wù)署(UNOPS)的首席信息安全官兼數(shù)據(jù)隱私官Niel Harper也闡述了今年的決議，并詳細介紹了將如何實現(xiàn)這一目標。

他希望將更多的精力和資源集中在隱私和數(shù)據(jù)上;完善和加強第三方風(fēng)險管理的控制框架;提高其企業(yè)對勒索軟件的保護;并繼續(xù)向其他商業(yè)領(lǐng)袖宣傳電子郵件安全的重要性。

5. 將安全性進一步左移

為了幫助確保她和她的團隊正確掌握安全知識，Devoto計劃更早地將安全要求嵌入到規(guī)劃和開發(fā)流程中。她說，“我正在優(yōu)先擴展我們的預(yù)防控制和能力套件，因為我們在‘上游’戰(zhàn)斗以阻止網(wǎng)絡(luò)攻擊?！?/p>

有著在2022年將安全性進一步左移這樣的想法并不只有她一個人。軟件開發(fā)商Dynatrace公司發(fā)布的“2021年全球首席信息安全官”報告指出，在接受調(diào)查的700名首席信息安全官中，89%的受訪者表示微服務(wù)、容器和Kubernetes造成了應(yīng)用程序安全盲點，71%的人表示不完全相信代碼在上線運營之前是沒有漏洞的。此外，85%的受訪者表示，他們認為應(yīng)用程序和DevOps團隊必須對漏洞管理承擔更多責任，以有效保護企業(yè)。

6. 開始擺脫對密碼的依賴

網(wǎng)絡(luò)安全智囊團CIBR公司首席信息安全官Grant Gibson表示，希望他的公司在今年進一步遠離使用密碼進行訪問，或者至少遠離使用密碼作為主要身份驗證形式。

他認為此舉是提高安全性的關(guān)鍵舉措。

他說：“我們處理密碼已有40年的時間，但一致認為采用密碼也會被黑客入侵。”

他說，這是意料之中的事情，很多人仍然對多個帳戶使用相同的密碼，他們會選擇簡單的密碼以確保能記住，并且當系統(tǒng)需要復(fù)雜密碼時，他們會將密碼寫在紙上或存儲在電子文件中——盡管經(jīng)常有針對這種做法的警告。

他還指出，最近備受關(guān)注的網(wǎng)絡(luò)攻擊涉及密碼泄露。

Gibson表示，他正在努力實施更強大的身份和訪問管理(IAM)控制，這些控制更易于使用，但對企業(yè)來說更加安全。他承認，并沒有適合所有企業(yè)的一種萬能的解決方案。

目前，他正在自己的公司內(nèi)部實施多因素身份驗證，因此密碼不是驗證用戶身份的唯一方法，他正在探索未來如何徹底消除密碼。

他說，“我們的目標是實現(xiàn)無密碼。而在短期內(nèi)，這意味著密碼不能成為唯一的身份驗證形式。但從長遠來看，其目標是完全無密碼。”

7. 提高敏捷性

萬通銀行企業(yè)網(wǎng)絡(luò)安全主管Ariel Weintraub表示，今年的決議是“更加靈活”。

她說，“網(wǎng)絡(luò)安全計劃在表現(xiàn)出彈性時最為成功。過去幾年的網(wǎng)絡(luò)攻擊表明，網(wǎng)絡(luò)攻擊者不斷發(fā)展他們的策略，具有彈性的能力是基于快速調(diào)整優(yōu)先事項的能力?！?/p>

她解釋說：“我們正在轉(zhuǎn)向利用日常威脅和脆弱性評估能力進行持續(xù)評估，使我們能夠識別、衡量和應(yīng)對新出現(xiàn)的威脅和風(fēng)險。這意味著不必害怕暫?；蚪K止某些計劃，并根據(jù)最新的技術(shù)和措施轉(zhuǎn)向新的計劃。不必害怕勒索軟件會破壞他們的整個基礎(chǔ)設(shè)施。我們將在交付新功能的方式上保持靈活性，以使其不受影響。這樣就無需花費數(shù)年時間來應(yīng)對新的威脅，而當一個項目不再相關(guān)時停止，并不是一種失敗。”

8. 與企業(yè)建立更好的合作伙伴關(guān)系

加強安全部門與企業(yè)的合作是Van Horenbeeck今年的另一項決議。他說，“我們已經(jīng)這樣做了一段時間，今年它真正成為我們內(nèi)部的首要任務(wù)?！彼忉屨f，加強安全性與業(yè)務(wù)的一致性將有助于各個團隊推進他們的目標。

Van Horenbeeck表示，包括他自己在內(nèi)的許多安全部門已經(jīng)非常擅長識別和解決企業(yè)內(nèi)部的頂級風(fēng)險。不過，這不會影響日常工作習(xí)慣和業(yè)務(wù)流程，這些習(xí)慣和業(yè)務(wù)流程通常會引入較低級別的安全風(fēng)險，并阻礙建立具有安全意識的企業(yè)文化的努力。

與企業(yè)建立更強大的合作伙伴關(guān)系將有助于安全識別產(chǎn)生風(fēng)險的工作流程，它還將幫助安全部門了解他們的業(yè)務(wù)同事為何重視這些流程。這種結(jié)合以及由伙伴關(guān)系培育更好的關(guān)系，應(yīng)該有助于安全和業(yè)務(wù)共同尋找成功的解決方案。

Van Horenbeeck說?！斑@實際上是更多地關(guān)注我們的合作伙伴要去哪里，而不是告訴他們該做什么?！?/p>

9. 照顧好團隊

UST公司首席信息安全官Tony Velleca表示，今年將更加關(guān)注他們的團隊和員工。

Velleca表示，根據(jù)軟件開發(fā)商1Password公司于2021年12月進行的訪問狀態(tài)研究，約84%的安全專業(yè)人員表示感到筋疲力盡。

Velleca說，隨著新冠疫情引發(fā)的不確定性和破壞性的持續(xù)，他正在尋找不僅留住人才，而且激勵人才的方法。

與許多其他公司一樣，Velleca表示，該公司的員工大多在現(xiàn)場工作，而近兩年由于疫情而轉(zhuǎn)為遠程工作。

Velleca說，該公司計劃讓員工重返辦公室，當然可以選擇遠程工作，他希望此舉將有助于重新激發(fā)員工的活力。

他還計劃將重點放在創(chuàng)新項目上，以提高員工的興奮度，并將部署更多自動化設(shè)備，將員工從重復(fù)性任務(wù)轉(zhuǎn)移到更具吸引力的更高級別任務(wù)。

10. 招募新人才

MongoDB公司首席信息安全官Lena Smart希望幫助解決安全方面的人才短缺問題，并決定在2022年招聘安全方面的人才。

Smart說，“我計劃繼續(xù)在指導(dǎo)和支持外部信息安全社區(qū)方面發(fā)揮積極作用?！?/p>

她說：“作為首席信息安全官，我經(jīng)常從同事那里聽到招募人才的難度。雖然填補信息安全職位肯定競爭激烈，但我們已經(jīng)看到，從找到具有正確特征的人員并幫助他們了解技術(shù)細節(jié)的過程中，我們?nèi)〉昧苏嬲e極的成果。”

11. 清除多余工具和功能

Oracle公司客戶服務(wù)副總裁兼首席信息安全官Brennan P.Baybeck表示，計劃清理沒有提供價值的多余工具和投資，并確定未充分利用的功能。

他說，“我認為現(xiàn)在是盤點的好時機，看看我們有什么可用的工具，在疫情發(fā)生之前我們有什么資源，積累的東西或冗余的功能，并消除那些不符合規(guī)定的流程和技術(shù)戰(zhàn)略?！?/p>

Baybeck表示，他計劃不僅在安全運營中采用這種方法，而且還與他的員工一起采用這種方法。他已經(jīng)看到員工所需的技能發(fā)生了變化。因此，他正在花時間重新評估職位，以確定哪些專業(yè)人士需要哪些新技能以及哪些角色需要發(fā)展。例如，他決定將一些以合規(guī)性為重點的空缺職位轉(zhuǎn)變?yōu)閷Ｗ⒂谔峁└嘧詣踊?、控制和開發(fā)安全工作的工程和開發(fā)人員工作，而所有這些都比合規(guī)性的工作職位更能滿足企業(yè)當前和未來的安全需求。

12. 為未來做好準備

Tiro Security公司首席信息安全官兼首席技術(shù)官Jenai Marinkovic也展望了未來，她表示，2022年的主要職業(yè)目標是讓安全人員為未來世界做好準備。

她認為需要解決三個主要問題。

首先，她想讓安全人員準備好工作并參與智能生態(tài)系統(tǒng)(例如元宇宙)并保護它們。這意味著了解如何在這個新世界中互動、交流和呈現(xiàn);這也意味著了解技術(shù)和使用它的人員是如何運作的，以便可以預(yù)測和解決安全問題。

其次，她希望幫助員工擅長溝通和協(xié)作，作為團隊的一部分工作，以及理解以用戶為中心的設(shè)計。

第三，她希望安全專業(yè)人員更加關(guān)注業(yè)務(wù)連續(xù)性，以便能夠分解業(yè)務(wù)流程和支持它們的系統(tǒng)，因為真正擅長這些將是應(yīng)對網(wǎng)絡(luò)攻擊事件的關(guān)鍵。

Marinkovic已經(jīng)開始在這三個廣泛的需求領(lǐng)域內(nèi)培訓(xùn)團隊，通過Tiro Security公司提供虛擬首席信息安全官服務(wù)。GRCIE公司是一家非營利公司，為美國各地的女性和退伍軍人提供指導(dǎo)和心理支持。

她補充說，“我們的目標是讓員工為即將到來的未來做好準備。”