金融機(jī)構(gòu)對網(wǎng)絡(luò)安全的擔(dān)憂高于高通脹、新冠疫情和地緣政治等其他主要風(fēng)險(xiǎn)。

作為負(fù)責(zé)確保業(yè)務(wù)運(yùn)營和數(shù)據(jù)的安全性和連續(xù)性的企業(yè)高管，金融機(jī)構(gòu)的首席信息安全官都非常清楚這一事實(shí)。但是，隨著威脅環(huán)境的不斷變化和發(fā)展，首席信息安全官需要定期重新評估其安全計(jì)劃，以確保維護(hù)企業(yè)的安全和數(shù)字化業(yè)務(wù)的增長。

那么，首席信息安全官應(yīng)該從哪里開始呢?

發(fā)現(xiàn)差距和機(jī)會(huì)

首席信息安全官的第一步是評估現(xiàn)有的網(wǎng)絡(luò)安全協(xié)議、政策和程序，提出諸如和當(dāng)前網(wǎng)絡(luò)安全計(jì)劃的現(xiàn)狀相關(guān)的問題。哪些團(tuán)隊(duì)負(fù)責(zé)什么?人員、流程和技術(shù)目前如何協(xié)同工作?從更廣泛的角度看問題將有助于確定需要進(jìn)一步關(guān)注的任何領(lǐng)域。

接下來，重要的是要更深入地評估企業(yè)的安全戰(zhàn)略的真正成熟程度，確定哪些是有效的，哪些是無效的。部署庫存發(fā)現(xiàn)工具，對連接到企業(yè)網(wǎng)絡(luò)的硬件和軟件進(jìn)行分類，可以幫助首席信息安全官更好地了解企業(yè)的攻擊面，并發(fā)現(xiàn)任何漏洞。這些工具能夠掃描網(wǎng)絡(luò)，定位受保護(hù)和不受保護(hù)的端點(diǎn)以及連接的物聯(lián)網(wǎng)設(shè)備。

除了在企業(yè)的網(wǎng)絡(luò)戰(zhàn)略中標(biāo)記出優(yōu)勢和劣勢之外，還必須審查任何特定行業(yè)的風(fēng)險(xiǎn)，以及目前如何應(yīng)對這些風(fēng)險(xiǎn)。首席信息安全官還需要檢查過去的表現(xiàn)和對網(wǎng)絡(luò)事件的響應(yīng)能力，以及企業(yè)的數(shù)據(jù)安全和隱私實(shí)踐是否符合他們的要求。

修改計(jì)劃并衡量績效

一旦評估階段結(jié)束，首席信息安全官應(yīng)該應(yīng)用其所學(xué)到的知識(shí)。首先要對其研究結(jié)果進(jìn)行詳細(xì)分析，并為未來制定路線圖，重點(diǎn)關(guān)注短期和長期目標(biāo)。

這些目標(biāo)可能包括在企業(yè)中建立更強(qiáng)的客戶信任，安全保護(hù)和處理數(shù)據(jù)，自動(dòng)化網(wǎng)絡(luò)安全以提高運(yùn)營效率，或更好地利用威脅情報(bào)來確保運(yùn)營安全。加強(qiáng)企業(yè)內(nèi)部的網(wǎng)絡(luò)安全政策，在企業(yè)內(nèi)部開展活動(dòng)，宣傳安全工作實(shí)踐的重要性，這應(yīng)該是當(dāng)務(wù)之急。

制定例行業(yè)績報(bào)告計(jì)劃是關(guān)鍵。報(bào)告應(yīng)該包括最相關(guān)的安全指標(biāo)，并提供關(guān)于企業(yè)安全目標(biāo)進(jìn)展的定期狀態(tài)更新。這些報(bào)告可以在新的學(xué)習(xí)、勝利和挑戰(zhàn)發(fā)生時(shí)標(biāo)記出來，并可以驗(yàn)證正在使用的戰(zhàn)術(shù)和技術(shù)，或者突出需要解決的安全漏洞。

有了這些目標(biāo)和更廣泛的戰(zhàn)略準(zhǔn)備，直接向利益相關(guān)方傳達(dá)這些計(jì)劃至關(guān)重要，并確保對已經(jīng)確定的最優(yōu)先事項(xiàng)的認(rèn)同和一致。

執(zhí)行和維護(hù)

隨著利益相關(guān)者的加入，現(xiàn)在是執(zhí)行這一戰(zhàn)略的時(shí)候了。在實(shí)施過程中，首席信息安全官應(yīng)提出明確的期望，并審查報(bào)告指標(biāo)，以評估所取得的進(jìn)展。

在這一階段，首席信息安全官應(yīng)側(cè)重于對不斷變化的威脅環(huán)境具有更強(qiáng)的適應(yīng)性和反應(yīng)能力，并充分利用新情報(bào)。及時(shí)了解網(wǎng)絡(luò)安全社區(qū)收集的最新威脅情報(bào)至關(guān)重要，因?yàn)榱私庑碌暮桶l(fā)展中的網(wǎng)絡(luò)漏洞、行業(yè)特定的威脅趨勢、記錄在案的戰(zhàn)術(shù)、技術(shù)和程序(TTP)、妥協(xié)的指標(biāo)(IoC)、零日漏洞和攻擊模式對加強(qiáng)企業(yè)的網(wǎng)絡(luò)防御極為重要。

為了保持有效的安全態(tài)勢并保持敏捷性，企業(yè)還應(yīng)根據(jù)需要加強(qiáng)其內(nèi)部安全團(tuán)隊(duì)，并確保他們的技術(shù)工具符合目標(biāo)——即加強(qiáng)端點(diǎn)保護(hù)、云安全、檢測和響應(yīng)能力等。

結(jié)論

隨著網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜性不斷上升，首席信息安全官面臨著一項(xiàng)艱巨的任務(wù)——在不斷變化的安全環(huán)境中保護(hù)業(yè)務(wù)連續(xù)性和數(shù)據(jù)，同時(shí)適應(yīng)整體業(yè)務(wù)目標(biāo)和其他內(nèi)部和外部因素的變化。

通過經(jīng)過深思熟慮的發(fā)現(xiàn)、評估、規(guī)劃、執(zhí)行和維護(hù)的過程，重新評估企業(yè)的安全態(tài)勢和戰(zhàn)略，首席信息安全官可以最大化其資源和效率，并確保企業(yè)不斷朝著可能的最強(qiáng)安全態(tài)勢發(fā)展。