關鍵詞: CIO網絡安全
網絡安全和數據隱私成為熱門討論話題,隨著網絡犯罪的日益猖獗,企業被攻擊的次數也越來越多。企業的業務部門開始向CIO和IT部門尋求解決方案,CIO又該如何回應這樣擔心呢?
網絡攻擊已日益頻繁,網絡安全正越來越成為熱門話題,CIO應該如何應對?
從某種角度來說這是一種非常有益的趨勢,因為這將促使人們繼續關注和討論這樣的話題,如我們該如何構建安全系統?企業在利用網絡提升生產效率的同時又該如何控制潛在的風險?對于促進人們對這方面的認識,提升意識是有幫助的。
CIO通常會向CEO匯報安全方面的工作或者向董事會介紹了安全方面的狀況。而常常會發現,只有三分之一的CEO表示他們記得看過這份報告。從這一點來看,CIO如何和上級溝通很重要,這種溝通不僅僅是安全報告上的專業術語堆積,而應該是關于安全對企業業務發展影響的分析和對策。
重新審視企業今年的戰略目標,是三大主要戰略還是五個?從這些戰略目標是尋找到哪些與網絡安全相關的議題。這樣你在報告里就可以通過談論企業今年的戰略目標來帶出對于網絡安全的擔憂和應對計劃。在和董事會的匯報中,你需要站在董事會的角度去看待網絡安全問題,讓他們了解只有這些網絡安全問題得到解決,企業的效益才能得到最大的提升。
安全問題會隨著IT的發展蔓延到越來多的領域,其中一個領域便是近幾年來炒得火熱的社交媒體平臺。很多企業并沒有意識到這一點。首先使用社交媒體的是員工,其次再是企業。企業缺乏一些諸如“如果不是為了營銷,那么不要使用社交媒體”的政策。
舉個例子,我們只是利用社交媒體就猜測到一家公司數據中心的架構。我們的猜測先從社交媒體LinkedIn開始,那里有該公司員工的詳細簡歷,接著我們又搜索到留言板和博客上的信息。這些都是可以查到的公開信息,通過對這些信息的重組和分析,你可以看到這家企業在社交媒體上面臨著多大的風險。
市場上有很多關于安全的產品。購買最新的產品,可以有效的防御風險,這是必須的,但這并不夠全面和完整。安全產品供應商,尤其是企業級的供應商,應該展示出其產品如何作為整體解決方案的一部分,而不能將它看成一個零和游戲:“因為你有預算,所以必須買我的產品。”作為安全產品供應商,真正需要思考的是從企業戰略的層面考慮安全性的問題,告訴你的客戶:“你應該了解到你們目前面臨的風險,這些風險可能會對你的企業架構產生重大影響,而我們可以幫助你們解決這些風險”。在談判桌上,你無需將競爭對手貶的一文不值,而只需告訴你的客戶,你能提供的產品和服務可以最大限度的融入企業戰略中,給企業發展保駕護航。
通常網絡安全問題追根溯源都是人為疏忽,并非惡意所為,比如員工不該下載東西等,在企業內部誰最適合將這些“禁令”信息傳達給員工的人?他們又該采取哪些舉措?這取決是公司規模。你可能在董事會沒有一個教育和培訓人士,但如果你可以找到一個溝通方面的好手與企業安全專家一起工作,那無疑是最好不過的了,他們可以幫助開發一種對員工更友好,更自動化的安全提醒機制。但要記住,不要過度渲染這件事,而是要將其納入企業文化和基因中。
不妨回憶一下我們在企業培訓中取得了哪些進展,通常這類的企業內部培訓是由HR組織的,但它會轉變成企業文化的重要部分,那么網絡安全方面的培訓也是如此。這不僅僅是安全小組的分內事情,而應該變成企業文化的一部分。它不應該是一年一度的自我檢查,而應該是日常工作。培訓的第一階段是對員工個人行為的關注,因為他們對自己的所作所為更清楚,也會對做過的哪些事情有印象,如果你可以訓練他們懂得如何在家庭生活中的安全處理方式,那么他們在工作中也會有注意安全的良好習慣。