压力下的CISO如何在高员工流动率的时代中保护敏感信息

在本文中，乔治城大学应用智能项目和研究生网络安全项目的兼职教授Charles Brooks谈到了零信任原则、身份访问管理和托管安全服务对有效的网络安全的重要性，以及AI、ML和跟踪工具等新兴技术的实施将如何增强供应链的安全。

CISO们认为他们有足够的数据保护措施，但他们在过去的一年中已经处理了许多敏感数据的丢失问题。你是如何调和这种明显的矛盾的?

尽管采取了保护措施，但数据仍会丢失，这并不奇怪。我们都在网络安全方面迎头追赶。互联网是在政府实验室发明的，但在私营部门实现了商业化。硬件、软件和网络最初是为开放通信而设计的。网络安全不是最初的主要考虑因素。由于互联网的连接性和商业的爆炸式增长，这种心态肯定已经发生了改变，而CISO们也正在玩一场追赶游戏。

有许多原因可以解释敏感数据的泄露。首先，黑客已经变得更加老练和有破坏力。黑客利用的基本工具和策略包括了恶意软件、社交工程、网络钓鱼(最简单、最常见的，尤其是针对企业高管的鱼叉式网络钓鱼)、勒索软件、内部威胁和DDoS攻击。此外，他们也经常使用暗网上所共享的先进且自动化的黑客工具，包括用于攻击和探索受害者网络的AI和ML工具。对于CISO们来说，不断发展的黑客武器并不是那么容易防御的。

另一个重要因素是，新冠肺炎疫情推动的指数级的数字连接也改变了安全模式。现在，许多员工会在混合式办公室和远程办公室中工作。有了更多的攻击面需要保护，而对CISO的可见性和控制措施却更少了。因此，得出更敏感的数据已经并将继续暴露在黑客面前的结论是合乎逻辑的。

想要充分保护是很难的，因为威胁也在不断演变。只需要一个狡猾的网络钓鱼，一个错误的配置，或者没有及时修补漏洞，就可以为漏洞提供机会。最后，许多CISO不得不在有限的预算和勉强合格的网络人员的情况下运作。也许他们也对在这种情况下能够达到的安全水平期望较低。

随着经济衰退给安全预算带来的更大压力，CISO们又该如何优化资源，并有效的管理网络安全风险?

CISO们必须根据他们的行业和规模制定审慎的风险管理策略，以便能够更好地优化资源。一个好的风险管理策略将设计出一个漏洞框架，识别出要保护的数字资产和数据。一个好的风险评估也可以快速的识别并确定出网络漏洞的优先级，以便可以立即部署解决方案，保护关键资产免受恶意网络的攻击，同时立即提高整体运营网络的安全。这包括使用新的安全工具(加密、威胁情报和检测、防火墙等)和政策来保护和备份企业系统，例如：财务系统、电子邮件交换服务器、人力资源和采购系统等。

在漏洞框架中有一些措施的成本并不高。这些措施包括了要求员工使用强密码，并要求进行多重身份的验证。通过设置防火墙，CISO可以制定计划来分割其最敏感的数据。加密软件也在考虑的范围内。云计算和混合云的使用支持动态策略的实现、更快的加密、降低成本，并为访问控制提供了更多的透明度(减少来自内部的威胁)。一个好的云提供商可以以合理的成本提供其中的一些安全控制。云本身并没有风险，但CISO和公司需要认识到，他们必须彻底评估提供商的政策和能力，以保护其重要数据。

如果CISO正在负责保护没有深度IT和网络安全团队的中小型企业，并且对云成本和管理持谨慎态度，他们也可以考虑外部管理的安全服务。

在员工流动率高的情况下，企业如何更好地保护敏感信息?

这就是零信任策略的本质所在。零信任是一组不断发展的网络安全范式的术语，这些范例将防御从静态的、基于网络的边界转移到了关注用户、资产和资源。企业需要了解与网络、设备和人员相关的所有信息。

其中身份访问管理(IAM)是非常重要的。IAM是用于控制谁可以访问系统内资源的一组技术和策略的标签。CISO必须确定并知道谁可以访问哪些数据以及为什么可以访问。如果员工离职，他们需要立即撤销特权，并确保没有从企业中删除任何敏感内容。市场上的供应商也提供了许多很好的IAM工具。

当然，员工流动也涉及到了道德和信任因素。员工内部威胁很难发现和管理。其中一些可以在雇佣合同中提前解决，只要员工了解所涉及的法律参数，他们就不太可能泄露敏感数据。

我们看到了CISO的倦怠和对个人责任担忧的加剧！是的，CISO的职责太多，预算太少，员工太少，无法运营和帮助减轻日益增长的网络威胁，这是导致倦怠的直接原因。现在，个人责任因素也增加了风险，例如针对Solar’s Wind首席信息安全官的集体诉讼，以及针对优步CISO隐瞒勒索软件付款的诉讼。在一个已经缺乏必要网络安全领导者和技术人员的行业里，CISO不仅需要获得工具，还需要获得必要的保护，以使他们能够在自己的角色中脱颖而出。否则，倦怠和责任问题将使更多的公司面临更大的风险。

这些挑战是如何影响CISO的整体工作效率的，又可以采取什么措施来应对这些挑战?

尽管入侵的频率、复杂性、致命性和责任变得越来越大，但行业管理层在提高网络安全方面几乎毫无准备，且行动迟缓。根据Gartner的一项新的调查显示，88%的董事会将网络安全视为商业风险，而不是技术风险，而且只有12%的董事会设有专门的董事会级网络安全委员会。

“是时候让IT部门以外的高管承担起保护企业安全的责任了，”风险与安全研究主管Paul Proctor说。“2021年各地涌入的勒索软件和供应链攻击，其中许多针对的是关键操作和任务环境，是时候应该敲响警钟了，安全应该是一个业务问题，而不仅仅是IT要解决的另一个问题。”

CISO不仅需要在高管层中占有一席之地，还需要拥有类似于其他高管的保险保障，以限制他们的个人责任。因为没有完美的网络安全解决方案。在我们岌岌可危的数字环境中，任何公司或个人都可能发生违规行为。让CISO一个人去做，既不公平，也不合理。类似的，网络安全也不应再被视为是企业的成本项目。它已经成为了一个ROI，可以确保运营的连续性并保护声誉。对公司和CISO的薪酬和所需职责组合的投资都需要成为未来的优先事项。

由于供应链风险仍然是一个反复出现的优先事项，CISO如何更好地管理其网络安全战略的这一方面，特别是在预算有限的情况下?

确保供应链不被破坏，包括设计、制造、生产、分销、安装、运营和维护要素，对所有公司来说都是一项挑战。网络攻击者总是会寻找最薄弱的切入点，降低第三方的风险对网络安全来说是至关重要的。供应链网络攻击可能来自于敌对国家、间谍运营商、罪犯或是黑客活动者。

CISO需要了解供应链中所有供应商的可见性，以及既定的政策和监控。NIST是美国商务部的一个非监管机构，它为供应链安全提出了一个建议框架，为政府和行业提供了健全的指导方针。

NIST的建议如下：