CISO 候選名單:RSAC 2022 的首要任務
- Noname Security - Taiwan
- 2022年6月14日
- 讀畢需時 3 分鐘
Written by Will Lin Managing Director, Forgepoint Capital
在 RSA 會議期間,展廳中的嗡嗡聲是關於使組織的安全優先級與正確的技術保持一致。Forgepoint Capital 的董事總經理兼創始成員 Will Lin 對 2022 年最大的安全優先事項以及技術高級管理人員正在尋找什麼樣的人進行了權衡。
在 Forgepoint Capital,我擁有獨特的、持續的特權,可以向網路安全領域最優秀、最聰明的人尋求幫助。匯總來自各種專家來源的見解可以清楚地了解哪些有效,哪些無效以及行業的發展方向。
我們最近的CISO 安全優先級模型報告更進一步,使獲取有關網路安全優先級和趨勢的信息民主化。在本報告中,我們調查了不同部門和組織規模的高級管理人員(CISO、CIO、CSO、CTO、CDO 等)。
該調查揭示了一些有趣的網路安全支出模式、中小型 (SMB) 企業與大型企業優先事項之間的差異,以及組織預計在未來幾年內接管的戰略方向。該報告的目標是回答 2022 年的這三個問題:
CISO 的首要安全優先事項是什麼?
CISO 關注哪些 NIST 網路安全框架優先事項?
CISO 關注哪些控制領域?
該報告的主要見解包括:
大型企業專注於數位轉型和事件響應,而中小企業則專注於人。儘管各種規模的組織在安全問題上存在一些重疊,但大型企業和 SMB 的優先級之間存在明顯差異。例如,大型企業的 CISO 將事件響應列為頭等大事,而對於 SMB 來說,這幾乎排在最後。中小型企業傾向於優先考慮網路安全的人為方面,例如人才發展和安全意識。
雲服務和數位轉型現在是 CISO 的優先事項。傳統上,雲服務和數位轉型一直是 CTO 和 CIO 的領域。大型企業的首席信息安全官現在將雲服務、業務和數位轉型列為他們的首要任務,很明顯這種模式已經發生了轉變。
首席信息安全官在他們可以產生可衡量影響的領域進行投資。安全預算正在增長——76% 的 CISO 預計安全預算會增加——並且組織非常有意識地進行支出。決策者正在優先考慮他們可以看到投資回報率和影響的領域。在實踐中,這意味著專注於團隊可以快速行動的領域,這往往因行業而異。例如,安全衛生是專業服務的重點,而醫療保健則優先考慮軟件供應鏈安全和第三方風險。
新的控制領域越來越受歡迎。網路、端點、身份和數據等傳統安全控制領域仍然是許多企業的重要優先事項。然而,數位轉型正在將新的控制領域帶到最前沿。具體來說,DevSecOps (54%) 和雲服務、基礎設施和 API (62%) 是組織計劃優先考慮的主要控制領域。
供應商和組織都致力於解決 NIST 的關鍵功能。根據我們調查的網路安全領導者的說法,NIST 2022 年最受歡迎的三個網路安全框架優先事項是保護、檢測和識別。有趣的是,這與安全供應商強調其產品可見性的重點重疊。雖然這種重疊可以用企業和供應商之間的共同利益來解釋,但也可能表明缺乏專注於響應和恢復的產品。
此外,一些最有趣的見解是 CISO 面臨的更細微的戰術挑戰。例如,雖然身份仍然是許多組織的頭等大事,但在主要雲服務提供商中尋找具有必要技能的人才對一些人來說是一個挑戰。AWS 安全工程師可能不熟悉 GCP 或 Azure。通常,這些現實世界的痛點是空間創新可以產生重大影響的地方。
這只是我們在對網路安全領導者的調查中了解到的冰山一角。
Noname Security Active Testing 是一個針對 AppDev/DevOps 組的新模塊,可幫助將“Shift Left”測試深入到應用程序開發過程中。 通過將 API 測試轉移到應用程式開發過程中,它可以幫助 AppDev/DevOp 團隊將經過徹底測試的 API 發佈到生產中,並避免在開發結束時造成測試瓶頸。 這減少了前期風險和補救工作,從而使 AppDev/DevOps 小組能夠始終如一地維護他們的測試版本。
Comments