记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

进化中的首席安全官:了解业务比精通IT更重要

几年前,在一家跨国消费品企业总部的新任首席技术官(CTO)与IT部门人员的见面会上。这位CTO向那些技术人员坦白:尽管现在负责整个公司的IT平台——从财务到人力资源系统,从产品线硬件到社交媒体工具用到的数字艺术软件,他对技术几乎没有兴趣。事实上,他甚至没有智能手机。 在IT员工们惊讶的吸气声和诧异表情平息下来后,这位新任CTO说了一些令人深刻的话:“我不需要懂技术,那是你们的任务。我的工作就是让董事会支持IT部门,只要你们能向我这个守旧分子解释清楚你们的项目如何有助于公司最终盈利,我就能让董事会拍板支持。” 这还真是一条技术创新的路线。该公司的技术已经停滞不前了一段时间,因为前任CTO们没能说服董事会投钱购买新技术,或者升级旧有技术。因此,该公司在数码领域已大幅落后于其竞争者。简单说,董事会已经厌倦了听满耳朵
发布时间:2016-09-23 20:05 | 阅读:75507 | 评论:0 | 标签:行业动态 CISO 供应商

因为你没加密 所以网络保险不给你理赔

安全专家表示,安全事件频频登上报端引发了网络保险业的蓬勃发展,但这一市场目前十分复杂。首席信息官(CIO)和首席信息安全官(CISO)面对的最悲苦的事,恐怕就是在重大网络安全事件后进行损害评估了。责难成山,却少有人能公平看待。而到向网络保险索赔的时候,概念混淆的存在,还会使这个责任推卸游戏变得更加复杂。典型的企业网络保险争论通常是这样的:CEO或董事长把CISO叫到办公室,告诉他保险公司只愿意支付38%的索赔,因为“你没对受影响的应用实现加密”。CISO说:“首先,我不知道我们有网络保险。其次,受影响的应用是在我们的ATM机上运行的,如果我们对其进行加密,您早就因为客户无法访问而解雇我了。我希望您在实施这些策略之前先告诉我一声。”CISO不知道自己公司投了保险以避免网络攻击损失这事儿,听起来就像HBO剧集《硅谷
发布时间:2016-07-19 20:50 | 阅读:97837 | 评论:0 | 标签:牛闻牛评 CISO 安全事件 网络保险 加密

安全架构是化解CISO五大困扰的关键

在工作过程中,我经常能和来自全球各地的首席信息安全官(chief information security officers ,CISO)交流,他们所在的企业面对着不同的信息安全环境,关心的安全问题也不尽相同。但总体上来说,他们在信息安全防护上的困扰集中在以下四个问题:1. 云应用安全 如今,越来越多的企业都开始将企业应用迁移到云端,并更多的使用包括公共邮箱服务、公有云盘、公共社交软件在内的公有云应用来处理工作。这些云应用往往不在企业安全防护系统的覆盖范围之内,随时都可能因为网络攻击导致机密数据泄露。如何管理这些应用并降低风险已经成为CISO最为关注的问题之一。2. 高级可持续性威胁(APT攻击) 在所有的安全威胁之中,企业最担心的无疑是APT攻击。这不仅是因为APT攻击常常瞄准信用卡信息等敏感的商业信息和个人
发布时间:2016-07-05 03:10 | 阅读:85437 | 评论:0 | 标签:术有专攻 CISO 合规 安全架构

CISO小心!汇报不好 可能被炒

董事会成员对通过报告获得的网络安全风险信息更加关注。Bay Dynamics近期发布的一项报告中提到,有说法称,如果网络安全高管无法提供有用、可行的信息,将会丢掉工作。研究指出,89%的董事会受访者表示,他们非常关注网络安全决策;74%的受访者表示,他们每周都会收到网络威胁信息汇报。不过他们同样表示,IT与安全高管应当上交有质量的报告,59%的受访者表示,如果无法提供有用、可行的信息,安全高管将会丢掉他们的工作。调查同样发现,70%的董事会成员表示,他们理解IT和安全高管在演示中展示给他们的信息,但超过半数的受访者认为,展示的数据过于技术化。26%的受访者表示,网络风险拥有最高的优先级,财务、法务、合规性、竞争风险则分别占据受访者的16%到22%。研究机构Osterman Research发布的一份全国研究曾调
发布时间:2016-06-23 15:10 | 阅读:74729 | 评论:0 | 标签:牛闻牛评 Bay Dynamics CISO Osterman Research

戴尔报告揭地下黑客市场:入侵Gmail账户收费130美元

戴尔旗下的网络安全公司SecureWorks发布了年度《地下黑客市场》(Underground Hacker Markets)报告,披露了黑客市场上各种服务和产品的最新价格。 戴尔称,这些信息来自于该公司CISO INTEL团队的两名情报分析师,他们在全球各地散布的诸多地下黑客论坛和市场上跟踪了黑客业务的发展情况。 这份报告主要关注俄罗斯和英语国家的地下黑客市场,覆盖时间从2015年第三季度到2016年第一季度。 这份报告显示,目前黑客对入侵美国各大电子邮件账户的收费标准是129美元,这些电子邮件账户包括Gmail、Hotmail和雅虎等。他们还会入侵企业电子邮件账户,每个电子邮箱收费500美元。黑客入侵俄罗斯主流电子邮件账户的收费价格在65美元到103美元之间。而入侵乌克兰主流电子邮件账户的价格为129美元,
发布时间:2016-04-11 05:30 | 阅读:153934 | 评论:0 | 标签:业界 CISO Gmail 戴尔 黑客

5年后的首席信息安全官是什么样子?

自90年代末出现伊始,首席信息安全官(CISO)就是个充满技术性的工作。CISO可能位于首席信息官(CIO)之下,得向CIO报告;可能拥有多种多样的背景,比如系统或网络管理员,甚至安全运营中心(SOC)安全分析员。几乎所有CISO都是男性,要么有计算机科学从业经验,要么是军方高级管理人员。但是,最近几年,随着劳动力多元化和商业利益与安全愈趋紧密的联系,这一关于CISO的传统看法也发生了改变。于是,今时今日,来自各种背景的男女CISO们在CISO的舞台上各展神通,贡献着各自的技术与经验。他们可能不全是注册信息系统安全师(CISSP),但他们知道怎样沟通,怎样管理,怎样为信息安全构建业务用例。这些下一代CISO中的某些人来自那些你可能不会与信息安全联系起来的领域,比如心理学、社会学和法律。不过,这一工作并不好做,尽
发布时间:2015-10-11 04:25 | 阅读:88944 | 评论:0 | 标签:牛观点 CISO

CISO角色和组织准备的发展

如果看看最近业界数据泄露的消息,我们可以得出结论,CISO(首席信息安全官)对组织的成功和维持起着至关重要的作用,在这样的情况下,我们也可以说信息安全组织及其汇报途径同样重要。这可能是为什么最近一谈到CISO,就会讨论CISO和信息安全规程在组织中的位置。然而目前面临的挑战是,关于CISO和他的部门应该向谁报告的问题,一般以“视情况而定”结束。要从讨论上升到实际执行,问题也许并不在CISO应该向谁报告,而在于为什么汇报途径这么重要。  坦率的说,这当中涉及的原因很多,不仅仅是CISO(或信息安全主管)和他们所代表的公司共同承担数据泄露的后果。这非常令人困惑,也是为什么CISO在组织中的角色或汇报关系值得进一步讨论并立即开展行动的原因。 首先,来讨论一下,对信息系统和数据的保护是业务
发布时间:2015-07-15 16:10 | 阅读:74767 | 评论:0 | 标签:牛观点 CISO

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云