每位CSO都需要回答好这5个问题
时间: 2024-02-21 23:40:54 | 来源: 欧宝体育官方网站
2018年2月,澳大利亚正式实施新的数据泄露法案《数据泄露通报法案》。
据悉,该法案适用于年营业额超过300万美元并持有个人可识别信息的组织和机构。一旦实行,这些组织机构必须向澳大利亚信息专员办公室和受影响的个人报告数据泄露事件,有效地防止数据泄露事件悄无声息地发生。
3月底爆发的Facebook数据泄露事件在全世界内引起了轩然,据悉,剑桥分析公司以不正当的方式获取了大量Facebook用户的信息,这中间还包括用户居住地、个人喜好、朋友信息等等。甚至有媒体认为,该公司可能与2016年美国总统选举期间的广告定向投放有关,从而某些特定的程度上影响了大选结果。
2018年5月25日,被视为“史上最严”的欧盟隐私法案《通用数据保护条例》(General Data Protection Regulation,GDPR)于欧盟全方面实施,该条例现已成为欧盟法律的一部分,用来改善欧盟公民的数据保护情况。
总之,无论是近来发生的网络安全事件,还是澳大利亚和欧洲相继引入新的数据泄露法案,种种事件都正在提醒人们要对网络安全最佳实践需求的多多认识。这种意识的觉醒也推动众多公司开始着手评估当前自身的网络安全状况,并实施相应的解决方案以降低安全风险。
愿景是美好的,但不幸的是,企业并未能发挥安全评估和解决方案的最大效用,他们只是继续在新的、孤立的安全工具上分层,而没有挖掘出现有工具的最大化价值,或完全解决潜在的漏洞威胁。
随着每天慢慢的变多的设备和端点连接到网络,能够保护这些设备并防止没有经过授权的访问行为应该成为安全专业技术人员最关心的问题。这种安全觉悟无疑是正确的,因为攻击者只需要通过一个受损设备就能够瓦解整个基础架构。
如今,大多数安全方法都依赖于后见之明不知道接下来会发生啥情况,企业只能对已发生的事情做出响应,然后在事件已发生的情况下修复攻击影响。
想要改变这种“事后诸葛亮”的现状,让企业以更为积极主动地方式应对威胁,将对企业整体安全性产生战略性意义,而这一切主要根据企业安全方向的决策者对自身的认知与决策方向。
完整、持续的可视性对于有效的网络保护至关重要。如今,整个行业的假设是,所有组织都具备这种可视性,但事实是,大多数组织根本不具备充足的可视性。
鉴于缺乏可视性,企业将无法确保不可视内容的安全,所以组织必须避免这种盲目假设,并采取比较有效措施来确保自身确实具备完整、持续的可视性。
当组织只具备部分可视性时,他们对风险状况的了解也就会不完整。当消费者购买家庭内容的保险时,保险公司会询问的第一个问题是他们的资产价值。如果消费者不清楚自己拥有哪些东西,自然也就无法衡量自己的财产价值。同样的道理,如果无法确切地知道连接到网络中的内容,企业自然也就无法有效地保护它。
绝大多数组织都知道自身存在可视性差距,但是他们并不知道怎么缩小这种差距。如果网络会说话的话,我想安全专业技术人员一定想直接问它,“究竟哪些东西连接到了网络”。通常情况下,当询问网络时,其给出的“未知数”(连接到网络的设备或端点)数量可能会比预期的还要多出35%-40%。加上如今大多数企业都拥有扩展的网络,想要明确未知设备规模将变得更加艰难。完全关闭可见性差距的唯一方法,就是直接询问所有不同的网络。
组织不希望继续在新的、孤立的安全工具上分层,相反地,他们要从自己已经投入的工具中获取更多。所以,企业应该通过提供对网络上所有内容的可见性,来确保自己的下一次投资能够更好地利用他们现有的工具,而不是简单地添加另一个增加成本和复杂性,却没办法提供可操作信息的孤立工具。
组织会为安全工具分配预算,但这些工具没办法发挥最大性能来完整地保护企业业务安全。因此,一些预算就等于浪费掉了。完整、持续的可视性使企业能够识别并恢复浪费的支出,并确保安全预算能够覆盖其预期覆盖范围的100%。
通过缩小可视性差距,以及获得有关网络上每个设备或端点的完整且准确的信息,企业将不但可以减少其安全预算,还能够更可靠地保护其网络。这将有利于企业改进数据保护的方法,以及更轻松地满足数据保护法规合规性要求。
【本文是51CTO专栏作者“”李少鹏“”的个人独创的文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
我经常遇到有着伟大思想的创业者,但他们往往在如何将这些想法变成一个有着付费用户、一个着迷的市场的成熟业务上并没明确的答案。在这篇文章中,我将讨论创业的第一步,就是在你开始新的冒险之前的研究和计划。如果这一步做的好,你将在你未来五年的发展中有明确的想法。更重要的是,它会在你最终创业的时候给你信心。