记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

CISO应该进入董事会

不要等到发生安全事件的时候,再去邀请CISO加入董事会。最近在伦敦举行的IPSec大会上,F-Secure首席研究官米科·西博能称,公司企业应将首席信息安全官(CISO)与CIO一起,列入董事席位中。西博能提到了信用参考机构Equifax泄露1.45亿美国人记录的黑客事件,他指出,随着软件应用的盛行,CISO如今在几乎每家大型企业的管理和监督中都占据了关键地位。F-Secure首席研究官米科·西博能在董事会的讨论内容中,网络安全工作非常被动,公司董事会根本不考虑这个问题。他们不是计算机专家,也不是网络安全专家,对网络安全提不起兴趣。但每当大事件发生,网络安全就变成了董事会级的问题。他们邀请CISO或CIO参与会议进行讲解,虽然事后很快抛诸脑后。这不是正确的做法。每家大公司的董事级会议里,网络安全都应该成为一个常
发布时间:2017-10-22 09:30 | 阅读:87882 | 评论:0 | 标签:牛闻牛评 CISO 董事会

网络安全工作的悖论:预算越多,问题就越多

为什么有些高管不愿意在安全上加大投入?因为在企业中,只有安全团队是一支“给的预算越多,发现问题就越多”的队伍。在WannaCry和NotPetya勒索软件肆虐之下仍有公司不愿投资安全,原因之一正在于此。安全事件频现主流媒体头条,但是否有助于安全列入董事会议程的前列呢?一家大银行的CISO曾表示,虽然自己已经是公司里向董事会做简报最多的人,但是讨论基本是从防护角度出发。“董事会只想知道怎样确保不受全球爆发和重大问题的侵扰”。此外,安全驱动业务的观念,是否真得传达到并被董事会所接受?我们都听说过安全作为业务驱动器的概念,但真的是这样吗?哪里体现出来了?给我点案例看看?安全是唯一一支当它要求更多预算的时候,反而给你更多问题的团队。在我担任CISO的时候,把钱投到安全工作上,结果就是更多人发现问题,产生更多警报。这是违
发布时间:2017-08-18 12:35 | 阅读:74422 | 评论:0 | 标签:术有专攻 安全投入 经济收益 董事会

为什么“加密”已经成为董事会要考虑的问题

Thales e-Security的一项调研显示,企业关于如何加密的决策已经由IT部门上升到了领导层。 在过去的十二年间,企业的加密职责往往会落在IT部门肩上。然而根据2017年全球加密趋势报告,加密权的平衡发生了变化,越来越多的企业里开始由高层领导负责加密事项。 高层领导对加密的总体影响能力已从研究开始时的2005年的10%上升到了30%,而与此同时,IT团队对加密的影响大幅下降,从53%降到了29%。 有趣的是,不同地区的数据迥异。有四个国家声称自己的企业管理层最能影响他们的组织的加密策略,法国、英国、美国和墨西哥管理层影响分别为41%、37%、34%和30%。在剩下的七个国家的调查研究中,IT部门仍然包揽大部分的加密责任。 决策上移 考虑到越来越多的数据泄露事件在日复一日地影响知名企业、占据头条,企业高
发布时间:2017-04-29 04:35 | 阅读:82948 | 评论:0 | 标签:术有专攻 加密策略 合规 数据保护 董事会 加密

别再鼓吹神通广大的黑客了 只有务实才能让高管和董事会加大网络安全投入

如果你想说服自已企业的高管和董事会正确投资网络安全,可以先从这步开始:停止讲述恐怖故事,别再用好莱坞黑客式的桥段加以佐证。 黑客,黑客,黑客,到处都是黑客。偷走银行千万巨款,加密孙子照片逼迫老奶奶交出养老金,黑市上售卖无数人的登录凭证和口令。但是,为什么老喊这些人“黑客”?为什么不用他们真实的身份——罪犯,来加以称呼呢? 对很多人而言,黑客就是个好莱坞漫画形象,跟《黑客帝国》里的尼奥似的,是个不可阻挡的技术对手兼功夫大师,飞檐走壁、意念挡子弹、随手拉个键盘就能侵入任何系统——肾上腺素飙升有没有?恐惧和敬畏之感油然而生有没有? 一切要追溯到1983年的《战争游戏》,马修·布罗德里克饰演的大卫无意中黑进了NORAD(北美防空联合司令部),以为自己只是闯入了一家电脑游戏公司。怎么就不能仅仅好好玩局国际象棋而不是引发
发布时间:2017-04-13 16:35 | 阅读:91975 | 评论:0 | 标签:术有专攻 网络安全 董事会 黑客

调查︱董事会常常指责IT团队在网络攻击后不作为

根据BAE系统公司的一项调查,约有半数的公司领导层认为IT团队应当对数据泄露事件负责。 研究发现,公司领导层和他们的IT部门都认为彼此应当负责遭受网络攻击的后续事务。 BAE系统公司的调查发现,约有半数的领导层认为IT团队应当对数据泄露事件负责,而超过三分之二的IT决策者反而认为公司领导层应该承担相应责任。 在全球各地的调查中,澳大利亚的受访者对网络安全最现实。调查显示,73%的公司领导层和77%的IT决策者认为处理严重的网络攻击事件只是时间问题。而相比之下,全球仅有57%的公司领导层这么认为。 此外,澳大利亚的领导者对自家业务的抗攻击能力也最为自信,信任度高达97%,远胜世界平均水平的84%。 澳大利亚的市场也极为特殊,领导层对严重、有效的网络攻击造成的损失的预估比IT人员更高。 BAE系统公司的亚太地区商
发布时间:2017-03-17 06:20 | 阅读:81222 | 评论:0 | 标签:行业动态 BAE系统 IT团队 数据泄露 董事会

CEO、CFO、CIO和CMO应如何担起企业安全的责任

保护数字资源和管理网络风险的人才、过程和技术,是维系企业和社会稳定繁荣的基础。即便如此,在很多企业中,董事会和高管层才刚刚开始真正参与到网络安全策略和管理中来。 达斯达克最近的一次调查,凸显了跨国企业高层在网络安全意识和责任上的缺失:太多董事会成员和高管理解不了安全简报,不愿承担数据泄露的责任。 联网技术和设备、大数据,以及网络犯罪的同时引爆,导致了新高管角色的更广泛采纳,比如首席安全官(CSO)、首席信息安全官(CISO)和首席数字官(CDO)。随着信息监管、风险管理和合规在范围和复杂度上的增长,让高管层焦虑忙碌的的高级策略和监督责任更多了。然而,如果角色未能清晰定义,或者协作不力,新增的责任也会引入混乱和低效。 涉及网络安全问题,董事会成员和核心高管,尤其是没有直接参与部署安全项目的那些,能否完全融入并持
发布时间:2017-01-09 16:20 | 阅读:68953 | 评论:0 | 标签:术有专攻 安全责任 快速响应 董事会 高层

机构或企业中谁是网络安全最有力的推动者?

这取决于公司规模,在驱动安全发展上最具影响力的人可能是高管,也可能是董事会成员,但非高管级管理人员,有时甚至是直接负责IT/安全的人,也会成为强劲的推动力。 无论是谁,每家公司都需要那么一个人,让安全不仅仅是预算清单上一个条目,还是公司整体文化中的一个部分。然而,更多的情况是,公司因两种原因之一而将安全摆上重要位置。重视安全的公司,要么有着相信安全非常重要的进取型领导团队,要么就是经历过重大事件的公司。” 这也正是为什么很多情况下人员没有事件有影响力的原因。虽然大多数管理人员都希望潮流能改变一下,但现状更能说明问题。当然,肯定有公司关注灾难或监管推手的缺失问题,但这通常是因为有别的公司这么要求。 因此,安全团队求改善往往需要很长时间的情况也就更常见了。最大的问题之一,是部署双因子身份验证。不仅仅是在防火墙上,
发布时间:2016-12-05 21:15 | 阅读:112932 | 评论:0 | 标签:术有专攻 CISO 安全预算 网络安全 董事会

网络安全专家如何跻身董事会决策层

“到我60岁的时候,还想过朝九晚五回家都电话不断的生活吗?”发出这个疑问的,是多年从事CISO类似工作的网络安全专家加斯帕·奥森塔克。 在信息安全界从业多年,奥森塔克自然具备相当的网络安全技术和专业技能,他希望能在董事会上分享他的知识,或者作为顾问角色跻身董事会。 只有一件事,横亘在他达成愿望的路上——他需要进入那些掌握推荐权的关键高管的视野。目前为止,还没人给出关于如何引起关键人物注意的指南。 斯科特·古德曼也在寻求被董事会注意到。他是关键应用安全短信提供商TextPower的CEO兼共同创始人,手握身份管理与双因子身份验证专利。古德曼已经在铜产品制造商穆勒工业公司拥有董事席位,但他希望扩展自己的董事经验。他觉得,对寻求董事会席位的人而言,这就是社交和引起注意的事儿。 那么,像这样的网络安全专家,该怎样进入
发布时间:2016-09-13 21:15 | 阅读:67556 | 评论:0 | 标签:术有专攻 ZRG Partners 斯科特·古德曼 董事会 身份管理

董事们,走好这12步你的网络才能安全健康

近期,董事会应该聘用更年轻的总监来处理网络安全“问题”的呼声渐起。与此同时,欧盟在上周也揭开了之前提出的《网络与信息安全指令》(NISD)的面纱。大家对安全的期待越来越高,建立起许多框架、颁布了大大小小的立法和规章制度,但有什么证据可以显示这些东西起到了相应的作用呢?在汽车制造业,随着安全措施的引入,路上死亡人数逐年下降。然而,随着缓解已知威胁的控制措施的不断引入,我们却没看到相应的网络攻击、数据泄露的减少。用医学类比来为这篇文章打个基调吧。在医疗界,“实习医生”普遍存在着一个困境。他们在应对病人的知识和经验上都还很初级,得不到患者的信任,因而很难在缺乏经验的病症上增长治疗经验。我们再来看看安全。理论上而言,难道我们想要那些在董事会会议室做出重要决定的人,是一些不具备深度信息安全相关知识和丰富经验的人吗?如果是
发布时间:2015-12-30 19:50 | 阅读:64697 | 评论:0 | 标签:术有专攻 牛观点 网络安全 董事会

怎样说服董事会支持威胁情报

说服董事会拿出钱来支持威胁情报项目的最佳方法,就是要采取主动行动向他们展示网络安全工作的最佳效果,而非相反。零售商Ebuyer信息安全架构师塔伦·桑塔尼最近在一场主题演讲中回答了听众关于IT安全团队该怎样说服首席执行官或首席财务官为合适的威胁情报项目拨款。虽然他承认这是一件不容易的事情,但同时建议做这事儿的最佳方法是向董事会展示投资威胁情报将会给公司带来什么切实的好处。“我喜欢向人兜售想法而不是大谈产品。我去开会都会确保自己有几个想法可以让他们听我的。”桑塔尼解释道——尽管他承认“兜售想法总是很难。”桑塔尼认为,当涉及安全时主动总比被动好,最主要的原因就在于如果你采取主动,将会在展示怎样获取网络安全所需的资金上简单很多。“如果你有某些方法主动起来——我知道对小团队来说这很难,如果你可以更加主动,那这就是你可以向
发布时间:2015-12-08 21:25 | 阅读:69394 | 评论:0 | 标签:术有专攻 牛观点 威胁情报 董事会

网络安全已得到董事会关注 不再可有可无

首席信息安全官在高管层面上得到了前所未有的关注,这种情况会持续下去吗?几十年以来,首席信息安全官和顶层高管之间的关系一直是若即若离。本世纪初,在911事件和红色代码、尼姆达等知名蠕虫出现后,网络安全从以前忽隐忽现的边缘突然跳到了董事会的中心位置上。然而,随着时间推移,围绕着网络安全的兴趣和紧迫感减弱了。2003年,人们的关注再次被点燃,当时,许多企业按照塞班斯法案的要求,逐步完善防御机制(Sarbanes Oxley Act,在世通等公司破产造成巨大经济损失后,美国对上市公司要求强制实行此法案)。从那时开始,高管层和董事会给予网络安全的关注始终不稳定:一波高调的攻击事件会占据新闻头条,董事会对网络安全的关注会提升一段时间,但随着事件尘埃落定,这种兴趣就会消退。幸运的是,情况可能已经改变。目前,董事会对网络安全保
发布时间:2015-11-14 09:10 | 阅读:71498 | 评论:0 | 标签:牛观点 网络安全 董事会

董事会对网络安全的漠视导致安全事件频发

调查显示,商界领导层缺乏对网络安全的关心。关于网络安全需求是否要与业务需求保持一致,或是安全问题是否应该提上“董事会议程”的话题,从来都不缺少争论。各大媒体、各路专家也似乎天天都在发布着各种各样的研究、报告,说什么与以往相比,董事会越来越关注组织的网络安全事务云云。当然,媒体、专家了为博人眼球怎么说都是,但事实果真如此吗?最近国外的一项2015年美国网络犯罪调查,采访了超过500名受访者,包括企业高管、执法部门和政府机构等,给市场上关于网络安全关注度不断上升的一边倒舆论泼了一瓢冷水。该网络犯罪调查发现,网络安全意见在董事会的统一方面,各类组织大概呈现三种不同的态势:不闻不问型、应付了事型、有备无患型。首先是不闻不问型和应付了事型。调查显示,近三分之一约28%的受访者表示,他们的安全管理层从未就网络安全发表过相关
发布时间:2015-09-10 18:05 | 阅读:78273 | 评论:0 | 标签:牛观点 网络安全 董事会

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云