CISO常犯的几个风险管制错误
发布时间:2022-07-18 09:57:44 所属栏目:安全 来源:互联网
导读:过去不到一周时间,我们就被下面这些事件刷屏:B站500万粉丝UP主NAS数据被勒索软件锁死、成人网站CAM泄露108亿条数据(7TB)、特斯拉二手车数据泄露、苹果iPhone曝出严重漏洞、全球最大域名注册商Godaddy数据泄露、欧洲多家医疗机构和台湾两大炼油厂被勒索软件
|
过去不到一周时间,我们就被下面这些事件刷屏:B站500万粉丝UP主NAS数据被勒索软件锁死、成人网站CAM泄露108亿条数据(7TB)、特斯拉二手车数据泄露、苹果iPhone曝出严重漏洞、全球最大域名注册商Godaddy数据泄露、欧洲多家医疗机构和台湾两大炼油厂被勒索软件袭击、中信银行“笑果门”…甚至疫情期间的“受益股”,例如主流游戏平台Valve(游戏源代码泄露)、Switch(16万用户数据泄露)也纷纷中招。 安全主管表示,他们对这些调查结果并不感到惊讶,因为安全风险管理仍未成熟,稍有风吹草动,许多高管就纷纷暴露出安全风险管理的短板。以下,是企业管理层和CISO常犯的五个风险管理错误: 许多高管正在以“瞎子摸象”的方式管理部分(而非全部)组织的风险,因为他们对企业安全风险没有完全的了解。 毕马威(KPMG)网络安全服务全球联合负责人托尼·布丰曼特(Tony Buffomante)表示:“人们普遍认为企业对情况有完整的了解,这显然是一个误会。”事实上,很多CISO并没有完整的IT资产清单,也没有员工和业务部门使用的所有第三方供应商和云应用程序的完整列表。他说:“结果,许多公司仅对不健全或不准确的库存执行风险评估程序。” 不少业内人士支持该观点:CISO常常对他们的企业环境没有完整的了解。其背后的原因各不相同。有时,被收购的公司没有完全融入母公司。有时,各部门运行自己的技术业务并在这些孤岛周围筑起隔离墙。无论出于何种原因,这种情况都会使CISO无法全面评估整个组织面临的风险。 与此同时,许多安全运营团队对自己的工作的了解有限,Insight的安全咨询业务高级经理Mike Sprunger认为,这是因为安全团队没有使用可帮助他们量化和跟踪风险变化的指标。他说,中小型组织通常不跟踪风险指标,因为它们缺乏此类实践的资金和专业知识,而大型公司有时也不跟踪,因为它们对此类工作的复杂性感到不知所措。 不少安全顾问承认,全面了解技术环境和安全运营需要花费大量精力。CISO必须依靠他们的执行技能来打破长期存在的IT孤岛,而且他们必须优先考虑监督要求,以创建可以提供定量观测分析的指标计划。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号