【首席隐私官】律师事务所首席隐私官备注:CPO与CISO
【首席信息官】帮助首席信息官管理网络压力的4种方法
当公司急于为大流行导致的封锁做好准备时,IT和安全团队往往已经因预算和基础设施不足而过度扩张,因此必须迅速调整。以下是南非的首席信息官和全球首席信息官所能做的,以弥补当前的压力,同时保持全局的正确性。
2020年,研究发现,近90%的CISO认为自己处于中度或高度压力之下。同样,ClubCISO在2021进行的一项调查显示,在过去12个月里,21%的受访者的压力水平显著增加,增加了心理健康问题。
自大流行开始两年以来,由于全球技能短缺、预算限制以及越来越快和不断扩大的安全威胁环境测试弹性,技术和安全主管的压力水平仍在上升。“在我工作过的每一个网络安全团队中,压力管理都是一个普遍关注的问题,”Vodacom集团负责网络安全的执行官Kerissa Varma表示。“有些人管理得比其他人好,但我被问到的关于我的工作最常见的问题之一是,考虑到它涉及的所有方面,我是如何做到这一点的。”
AVBOB互助保险协会首席信息官Helen Constantinides也非常了解这些网络压力和倦怠趋势。她说:“我们需要记住,这不仅仅是技术问题。”。“它也涉及到人。”
【首席信息官】民主化技术如何重新定义CIO的蓝图
在速度和敏捷性方面,低代码/无代码和其他用户生成的开发正在破坏首席信息官的角色,并重新定义大型和小型企业寻找人才的方式。
技术中断继续重新定义CIO在公司中的角色。作为创新者和价值创造者,首席信息官们肩负着管理低代码/无代码(LCNC)等开发的重任,这是用户自主创新的革命性变革,使几乎没有编码经验的人或“公民开发人员”能够快速、轻松地按需交付新功能,而无需依赖已建立的开发团队。
我们正在经历一个不可否认的向这种民主化技术的转变。行业研究表明,2021,LCNC平台占新应用开发的75%,埃森哲自己的研究表明,60%的LCNC用户预计他们对平台的使用会增加。但在人才市场不断衰退的情况下,维持这种发展并不容易。
由于近五分之一的企业领导者由于技术人才的减少而受到限制,首席信息官们需要将目光从传统的IT专业人才库转向更广泛的社区,并培养和培育新的人才网络,将公民开发者与其专业同行聚集在一起。
随着业务和IT之间的界限变得模糊,对于具有前瞻性思维的首席信息官来说,重新思考他们如何工作和领导他们的组织,接受LCNC平台以更智能、更快的方式运营,将有巨大的机会实现公司盈利能力和效率的突破性增长。
【首席信息安全官】向董事会有效展示网络安全的12个技巧
不要让你的董事会演讲失分。在向董事会传达网络安全风险时,请遵循这些最佳实践和常见错误。
网络安全是董事会最关心的问题。
事实上,在美国企业董事协会(National Association of Corporate Directors)调查的近500位领导人中,42%的人将网络安全风险列为他们面临的五大最紧迫问题之一,仅次于监管环境的变化和经济放缓。
因此,安全管理人员越来越多地向董事会介绍他们面临的风险和缓解风险的策略。
互联网安全公司Webroot的首席信息官、资深董事会成员加里·海斯里普(Gary Hayslip)说:“越来越多的董事会在说,‘跟我们谈谈,告诉我们需要知道什么’。”。
然而,许多董事会成员发现,他们没有从首席信息安全官那里获得所需的信息。
管理咨询公司麦肯锡公司(McKinsey&Co.)的高级合伙人戴维·钦恩(David Chinn)表示:“董事会成员正在谈论网络风险,风险和审计委员会花了大量时间询问CISO,他们通常对这种经历不满意。”。
【网络安全】网络罪犯如何将“无害”的被盗或泄露数据转化为美元
通过合并来自多个来源的数据,网络犯罪分子可以建立被黑客账户所有者的档案,以支持其他攻击或提高社会工程活动的有效性。
现在距离2021已经快过半了,已经发生了二十多起引人注目的数据泄露事件,其中一些涉及脸书、LinkedIn、Instagram、US Cellular、T-Mobile、Geico和益百利等品牌。这些入侵期间窃取的数据将影响数百万用户,即使其中一些数据可能与电子邮件地址一样无辜。这是因为被盗数据不存在于筒仓中。
Forrester Research副总裁兼首席分析师杰夫·波拉德(Jeff Pollard)解释说:“这些东西不存在于真空中。”。“一个漏洞中可能有一个电子邮件地址,另一个漏洞的更多信息与该电子邮件地址对应。”
Pollard警告不要单独查看每个违规行为,因为数据可以汇总和汇编,以收集有关个人的更多细节。“一个面包屑会导致另一个,”他说,“由于普遍存在的漏洞,可以将东西放在一起,从而可以找到另一个人。”
【中国网络安全】中国:MLPS 2.0-企业的基线要求和实际收获
作为中国强化网络安全监管制度的重要组成部分,多级保护计划(“MLPS”)不是一个新概念,可以追溯到1994年和2007年发布的多项管理规则(通常称为MLPS 1.0规则),根据这些规则,网络运营商需要将其信息系统分为五个级别,并采取适当的网络安全措施。普华永道(PwC)中国大陆和香港的合伙人李(BarbaraLi)讨论了最新的MLPS 2.0及其要求。
中国MLP的演变
作为中国强化网络安全监管制度的重要组成部分,多级保护计划(“MLPS”)不是一个新概念,可以追溯到1994年和2007年发布的多项管理规则(通常称为MLPS 1.0规则),根据这些规则,网络运营商需要将其信息系统分为五个级别,并采取适当的网络安全措施。随着《2016年网络安全法》(“CSL”)于2017年6月生效,对MLP的审查已经加强。
CSL第21条规定,网络运营商在履行其义务时应遵守MLP的要求,以确保网络不受干扰、损坏或未经授权的访问,并防止网络数据被泄露、窃取或伪造。随着CSL的实施,遵守MLPS已成为一项法定义务。
【安全】超越用户名和密码
IT 和安全团队需要支持这种最基本的访问形式,以防范新的和不断演变的安全风险。
最近几个月,您可能已经注意到用于验证消费者和企业帐户的双因素和多因素身份验证提示有所增加。 这些工具在帮助消费者和企业防范身份欺诈、数据泄露、密码窃取和网络钓鱼/勒索软件攻击方面越来越受到关注。
身份盗窃资源中心 (ITRC) 的最新统计数据显示,大约 92% 的数据泄露与网络攻击有关,2022 年第一季度的数据泄露比 2021 年同期高出 14%。
ITRC 统计数据还显示,仅在 2022 年第一季度,就有近一半(367 份中的 154 份)数据泄露通知未包含泄露的性质,并被指定为“未知”。这个“未知”数量比 2021 年全年的“未知”数据泄露原因高出 40%。
那么,首席信息安全官如何让他们的公司准备好挫败这些网络安全攻击呢?他们必须掌握新兴技术,以应对不断变化的威胁、系统漏洞和不良行为者,以适应不断变化的环境。
【安全】确保未来的 5 大挑战
今天,每个人都在网络安全中发挥作用; 共同努力应对这些挑战将大大降低风险。
信息安全一直是我们过去的有趣部分,是我们现在的关键部分,并将成为我们未来的决定性因素。 有些行动必须在微观/个人层面解决,而随着行业的发展,我们必须共同应对挑战。
安全经济学很明确:“没有网络安全就没有金融稳定,”克利夫兰联邦储备银行总裁兼首席执行官 Loretta J. Mester 写道。 事实上,对网络安全性差的看法已被证明会降低股价和股价倍数、损害品牌声誉、降低市场份额、减少销售额、增加罚款、增加法律费用,并使聘用优质员工变得更加困难。 拥有未来需要掌握信息安全。
未来掌握信息安全的途径包括:
- 承认个人责任/问责制,
- 明确个人信息安全信念,
- 养成良好的网络卫生习惯,
- 关注软件供应链,以及
- 强化运营技术组件。
观众不再
迄今为止,在数字时代的绝大多数时间里,信息安全都是一项参与度不高的观众运动。工人、客户、高管和董事会成员基本上坐在看台上,而信息向导 [安全专业人员] 则在暗中与坏人作斗争。