高层管理者应向 CISO 提出哪些有关公司安全的问题

不可接受的信息安全事件:Positive Technologies 案例研究

在首席信息安全官和高层管理代表的共同努力下,Positive Technologies 公司形成并建立了自己的防御战略。随着业务的发展,公司成功地从大量抽象的网络风险转变为三个关键的不可接受的信息安全事件:

1.         在产品中引入恶意代码。供应链攻击对所有软件开发人员来说都是潜在的危险。攻击者在 IT 公司的产品中注入恶意代码后,可以访问客户的基础设施。这将对公司声誉造成负面影响。

2.         经常账户资金被盗。因网络攻击而损失任何金额的资金都是令人不快的事件。被盗这一事实本身就表明攻击者现在可以访问活期账户,这意味着他们将来可以盗取更大数额的资金,而这些资金本可以用于推出新产品等。此外,如果业务关键金额被提取,将无法开展业务。去年,Positive Technologies 公司通过漏洞悬赏实现了一个不可接受的事件--从公司账户中转移资金。

3.         敏感信息泄露。每家公司都会独立决定哪些数据属于敏感数据。对于 Positive Technologies 而言,首先必须保护客户审计结果。

理想的情况是,公司管理层可以随时制定不可接受的事件。同时,信息安全服务的作用仅限于提供技术知识,而绝不意味着要确定哪些是企业不能接受的。

如何与首席信息安全官建立正确的沟通

在建立有效网络安全的道路上,Positive Technologies 以问答的形式准备了一些建议。副首席执行官可以通过这些建议更好地了解应该向首席信息安全官提出哪些问题,如果首席信息安全官的回答与本文中的相似,您就可以放心了。

1. 首席信息安全官对企业的责任是什么?

首席信息安全官的责任不在于事件响应方面的报告和 SLA 指标结果,而在于掌握公司内不可接受事件的清单,包括可能的攻击载体、计算的损失以及加强目标和关键系统保护的行动计划。

2. 信息安全服务部门如何检查公司是否受到保护,防止不可接受事件的发生?

经过认证的信息系统、符合监管要求和国际标准并不能保证高水平的安全。信息安全会聘请市场专家,以网络演习或漏洞悬赏的形式对安全进行评估。这些专家寻找实现不可接受事件的方法。如果专家们一次又一次地找不到这些方法,那么管理人员就可以肯定,不可接受的事情是不可能发生的。

3. 信息安全现在能保证公司的安全吗?一年后会发生什么变化?

今天,任何公司都有可能被黑客攻击,不可接受的事件也有可能发生(数字化发展迅速,与其他组织的联系越来越多,这意味着通过合作伙伴进行攻击也是有可能的)。为了改变这种状况,我们需要制定信息安全目标,以防范不可接受事件的发生,并定期进行独立的安全评估。首席信息安全官制定了网络安全流程发展计划,该计划的实施可确保在一年(或其他特定时间段)内不会发生不可接受的事件。

4. 公司的安全如何取决于财务投资?我们团队在网络安全方面的投资效果如何?

企业的安全水平并不总是取决于信息安全投资。无处不在的自动化和攻击者日益增强的能力确保未来会发生更多的网络事件。虽然投资与建立有效的网络安全之间没有直接关系,但从业务角度来看,你应该把重点放在最重要的事情上,即防止不可接受的事件发生。在这种情况下,投资的有效性取决于能否阻止公司的运营和战略活动。

信息安全与高级管理层之间的成功沟通是有效网络安全的重要组成部分,但并不是唯一的组成部分。在咄咄逼人的数字环境中,您还必须与信息安全界进行接触。只有齐心协力,才能遏制网络犯罪分子的肆虐,因此,使用经同行评审的核对表、最佳实践和当前方法,并成为社区的一员,是非常重要的。