数据安全 大多数安全问题没有真正的捷径 [复制链接]

技术中心 9239 0 2022-6-13 13:58:03
本帖最后由 防泄密助手 于 2022-6-13 14:07 编辑

src=http___www.2008php.com_2013_Website_appreciate_2013-08-05_20130805202539.jpg.jpg
对于 Xerox 首席信息安全官 Alissa Johnson 博士来说,人类的聪明才智、合作伙伴关系和自动化是公司已经遇到和可能遇到的大多数安全问题的答案。
“未来是许多未来的融合,由隐私政策、违规行为、所有类型的威胁和网络安全响应所塑造。任何这些变化都会改变未来的轨迹,”她向 Help Net Security 解释道。“我们试图理解所有可能的未来并为它们做好准备。没有真正的捷径。我希望有,但没有。”
因此,该公司通过支持多层安全方法为未知做好准备,其中一层可以作为其他层的安全网。
网络安全保险不应取代防御
每个企业都应该维护以优化其安全性的安全层之一是网络安全保险。但是,虽然拥有它很有意义,但依靠它来替代健全的安全实践却没有意义。
“将更多资金用于网络安全保险而不是加强防御会增加违规的可能性。然而,更重要的是,保险费并不能弥补网络攻击造成的所有损失,”她指出。
“当客户的个人数据被盗时,企业可能会失去信任。当竞争对手获得商业秘密和定价时,声誉和品牌可能会被削弱,业务可能会丢失。解决问题可能会浪费大量时间和金钱。毫无疑问,成本很高。”
各种安全层旨在相互补充。她认为:“期望用一层来替代或补偿对另一层的较低投资是短视的。”
防御 APT
约翰逊博士曾一度担任白宫的副首席信息官。今天,她的两个首要目标是确保施乐公司基础设施的安全,以及他们销售的所有连接到互联网的产品的安全。
为了保护公司的基础设施免受高级持续性威胁的侵害,公司采用了基于入侵防御、受损设备检测、文档和数据检测以及外部合作伙伴关系的先进、持续性防御。
对于入侵检测,他们依赖于内部防火墙、用户访问解决方案以及 McAfee 的身份验证和白名单技术等解决方案。为了检测受损设备,他们采用固件验证等措施。
它们通过安全打印和加密功能等功能保护个人和机密信息的安全。最后,他们与合规性测试组织和安全行业领导者(例如 McAfee)合作,以使用最新的安全标准来增强和保护设备。
“通过与网络安全领导者合作,我们获得了补充我们自身的专业知识,并且通过自动化我们确保我们的日常安全监控是无故障的,同时让我们最好的头脑来解决我们最棘手的问题,”她指出。
“在此过程中,我们正在建立和培育一种基础设施和文化,准备好在现在和未来抢占和应对任何和所有威胁。我们将同样的心态带给我们的客户和合作伙伴,与他们分享我们在保护打印机、扫描仪和其他联网办公设备的第一线所学到的数据安全经验。”
应对网络安全技能短缺
可靠估计,到 2022 年,网络安全领域 70% 的工作岗位将空缺。
施乐对不断扩大的安全需求和劳动力不足的解决方案再次是自动化和合作伙伴关系。
“自动化,因为需要将人才从照看数据中心和闪烁的灯光中拉出来,专注于高风险、高机会的数据,从而为用户提供更丰富、更高级别的体验。合作是因为与供应商合作开发应对挑战的技术的更开放的文化可以弥补跨组织的广泛重复工作,“约翰逊博士解释说。
让董事会参与进来
但为了有效防御,让公司董事会和 C 级高管参与进来并与他们良好合作至关重要。做到这一点的关键是良好的沟通、可靠的战略计划和以可衡量结果为后盾的强大执行力。
“C 级高管需要了解您的情况,了解威胁的真实性,以及违规行为的破坏性和代价高昂。恐惧可能是一个很好的动力,在这种情况下,恐惧是非常真实的,”她解释道。
“一旦你引起了他们的注意,你需要用一个战略计划来引导他们,以解决你的情况。我们的计划强调利用我们和合作伙伴的专业知识,并尽可能实现自动化,以充分利用我们拥有的资源。这些是我们成功应用于业务其他部分的概念,因此我们的高管很快就能掌握我们的发展方向。”
随着高层管理人员的加入,他们已经达成共识,将网络安全作为其研究实验室的关键重点领域以及关键的客户要求,因此在产品开发过程中“融入”了安全性。
最终要求——可衡量的结果——是通过以多种方式衡量其性能来实现的,包括跟踪破坏其基础设施的尝试以及阻止潜在入侵者的成功率。

您需要登录后才可以回帖 立即登录
高级模式
返回
统计信息
  • 会员数: 29041 个
  • 话题数: 9629 篇
  • 巅峰数: 5500 人