亿康先达最近在香港举行了一次网络安全圆桌讨论会,由我们的技术官员和金融科技业务顾问Richard Lin和Matthew Edwards主持。raybetapp下载帕洛阿尔托网络亚洲公司的首席安全官Sean Duca,以及来自领先金融服务、电信、消费者、交通和政府机构的12位首席执行官、首席信息官和首席信息官加入了我们的行列。我们进行了深入的讨论,并公开交流了与网络安全相关的想法、见解和最佳实践。我们在下面分享了一些最重要的收获:
网络安全意识和教育
网络攻击越来越频繁,越来越复杂,影响越来越大。更大的挑战是,员工对网络攻击企图不谨慎,容易遭受网络钓鱼、密码盗窃和其他入侵。因此,教育工作人员提高认识和警惕现在是至关重要的。在我们的讨论中,小组成员描述了他们在公司中采用的一些最佳实践,例如定期进行数据安全培训,通过模拟攻击对员工进行测试。在某些情况下,这种做法被非常严肃地对待,以至于那些多次未能对模拟攻击作出适当回应的员工会受到训斥,有时甚至会被解雇。
情报共享及其挑战
虽然小组成员普遍认为,网络攻击的信息共享及其可能的预防是加强跨行业防御措施的重要途径,但显然挑战仍然存在。一个明显的观察是,各种网络攻击的肇事者往往比他们攻击的目标行业更协调。这是由于行业参与者之间的竞争,以及担心向媒体泄露攻击消息。
我们的与会者指出,根据董事会的合作程度,首席执行官和首席信息官可能会认为,分享攻击信息带来的短期声誉风险,超过了提高透明度可能带来的长期好处。在行业同行之间建立信任可能尤其困难,特别是在客户保密至上的金融直觉领域。尽管如此,与会者普遍认为,从业人员能够而且应该在共享信息方面做得更好,并建议通过政府监管提供支持可能会有所帮助。
提高管理层对网络安全风险的认识
数据保护最终有助于企业降低风险。与几年前相比,公司高管和董事会对网络安全的认识明显发生了转变。然而,组织之间的理解水平各不相同。一些与会者晚上睡得很好,因为他们知道网络安全方面的有效投资和政策已经到位。其他与会者指出,cio仍然需要投入大量时间来提高组织内部的意识,以使整个管理团队充分认识到IT安全的重要性,并制定适当的预算和编制适当的人员。
第三方服务提供商和承包商
一些公司可能会意识到,他们无法以与整体业务增长相同的速度增长内部IT能力。因此,他们利用第三方来补充能力和控制成本。这可能会导致超出公司控制的数据风险。虽然可以通过合同和政策来降低这些风险,但在现实中,通过承包商保持适当的网络安全标准也存在挑战。建立信任以及健全的法律框架至关重要。
数据保护措施
攻击模式在本质上可以是随机的,由个人、团体或民族国家发起。除了建立强大的防御,一些公司还采取了积极主动的措施,比如创建“蜜罐”,引诱黑客进入他们的网络,这一切都是为了更好地理解和学习他们的战略,从而避免未来的此类尝试。与会者们分享了一些例子,比如一则不讨好的公共新闻如何可能导致网络攻击,这可能会鼓励心怀不满或积极的网络犯罪分子发动攻击。
CISO报告线
这取决于行业性质和业务规模。在某些情况下,CIO也是事实上的CISO,直接向CEO报告。这在技术和金融行业尤其常见,因为这些行业对高级网络安全的需求更为明显。在其他一些组织中,cio或CISOs可能向首席运营官或首席财务官报告,并向首席执行官报告。尽管如此,其他组织强调网络安全的法律影响,CISO向首席法律官总理事会报告。较小的企业可能会将CIO、CISO和CTO合并为一个角色。最重要的是,随着网络安全成为需要战略监督而非财务监督的更大问题,CISO的职能在组织高层拥有强大的话语权。
法律及规管架构
香港法律没有要求公司分享太多关于网络安全的信息,相关的网络安全和IT基础设施立法也没有建立起来。这是可以改进的。与会者一致认为,新加坡就是一个很好的例子,在那里政府和立法者已经建立了一个强有力的网络安全监管框架。
亿康先达的观点
虽然在大多数组织中,事实上的网络安全领导权仍然由CIO组织承担,但CISO的职能已经远远超出了“机架和堆栈”的范畴。为了面对日益复杂的网络安全挑战,首席信息官(CIO)或首席信息官(CISO)不仅必须了解和解决技术问题,更重要的是,他必须是一位能够高效影响组织更广泛文化的商业领袖。因此,我们对网络安全领导人才的评估越来越侧重于那些能够对网络安全采取全面方法的人,将其视为涉及文化、实践和人员的更广泛的商业问题除了对技术。因此,我们认为,在选择应对未来挑战的网络安全领导者时,审视好奇心、学习导向、洞察力和参与度的潜在驱动因素是至关重要的。
