关键词: CIO网络安全
网络安全和数据隐私成为热门讨论话题,随着网络犯罪的日益猖獗,企业被攻击的次数也越来越多。企业的业务部门开始向CIO和IT部门寻求解决方案,CIO又该如何回应这样担心呢?
网络攻击已日益频繁,网络安全正越来越成为热门话题,CIO应该如何应对?
从某种角度来说这是一种非常有益的趋势,因为这将促使人们继续关注和讨论这样的话题,如我们该如何构建安全系统?企业在利用网络提升生产效率的同时又该如何控制潜在的风险?对于促进人们对这方面的认识,提升意识是有帮助的。
CIO通常会向CEO汇报安全方面的工作或者向董事会介绍了安全方面的状况。而常常会发现,只有三分之一的CEO表示他们记得看过这份报告。从这一点来看,CIO如何和上级沟通很重要,这种沟通不仅仅是安全报告上的专业术语堆积,而应该是关于安全对企业业务发展影响的分析和对策。
重新审视企业今年的战略目标,是三大主要战略还是五个?从这些战略目标是寻找到哪些与网络安全相关的议题。这样你在报告里就可以通过谈论企业今年的战略目标来带出对于网络安全的担忧和应对计划。在和董事会的汇报中,你需要站在董事会的角度去看待网络安全问题,让他们了解只有这些网络安全问题得到解决,企业的效益才能得到最大的提升。
安全问题会随着IT的发展蔓延到越来多的领域,其中一个领域便是近几年来炒得火热的社交媒体平台。很多企业并没有意识到这一点。首先使用社交媒体的是员工,其次再是企业。企业缺乏一些诸如“如果不是为了营销,那么不要使用社交媒体”的政策。
举个例子,我们只是利用社交媒体就猜测到一家公司数据中心的架构。我们的猜测先从社交媒体LinkedIn开始,那里有该公司员工的详细简历,接着我们又搜索到留言板和博客上的信息。这些都是可以查到的公开信息,通过对这些信息的重组和分析,你可以看到这家企业在社交媒体上面临着多大的风险。
市场上有很多关于安全的产品。购买最新的产品,可以有效的防御风险,这是必须的,但这并不够全面和完整。安全产品供应商,尤其是企业级的供应商,应该展示出其产品如何作为整体解决方案的一部分,而不能将它看成一个零和游戏:“因为你有预算,所以必须买我的产品。”作为安全产品供应商,真正需要思考的是从企业战略的层面考虑安全性的问题,告诉你的客户:“你应该了解到你们目前面临的风险,这些风险可能会对你的企业架构产生重大影响,而我们可以帮助你们解决这些风险”。在谈判桌上,你无需将竞争对手贬的一文不值,而只需告诉你的客户,你能提供的产品和服务可以最大限度的融入企业战略中,给企业发展保驾护航。
通常网络安全问题追根溯源都是人为疏忽,并非恶意所为,比如员工不该下载东西等,在企业内部谁最适合将这些“禁令”信息传达给员工的人?他们又该采取哪些举措?这取决是公司规模。你可能在董事会没有一个教育和培训人士,但如果你可以找到一个沟通方面的好手与企业安全专家一起工作,那无疑是最好不过的了,他们可以帮助开发一种对员工更友好,更自动化的安全提醒机制。但要记住,不要过度渲染这件事,而是要将其纳入企业文化和基因中。
不妨回忆一下我们在企业培训中取得了哪些进展,通常这类的企业内部培训是由HR组织的,但它会转变成企业文化的重要部分,那么网络安全方面的培训也是如此。这不仅仅是安全小组的分内事情,而应该变成企业文化的一部分。它不应该是一年一度的自我检查,而应该是日常工作。培训的第一阶段是对员工个人行为的关注,因为他们对自己的所作所为更清楚,也会对做过的哪些事情有印象,如果你可以训练他们懂得如何在家庭生活中的安全处理方式,那么他们在工作中也会有注意安全的良好习惯。