在网络安全意识月期间,来自全球各地的数千名网络专家齐聚拉斯维加斯,参加 2024 年 ISC2 安全大会,讨论行业挑战和最佳实践,包括降低业务风险和最大限度减少运营不确定性的策略。
拉尔夫·维拉纽瓦 (Ralph Villanueva) 是向观众提供建议的网络专业人士之一。作为希尔顿分时度假俱乐部 (Hilton Grand Vacations) 的 IT 安全与合规分析师,他在演讲中引用了流行的商业自助书籍《高效人士的 7 个习惯》,将最佳实践提炼为七个习惯,并详细介绍了它们如何融入日常工作工作。
高效 IT 安全与合规专业人员的 7 个习惯
维拉纽瓦强调的习惯包括:
- 了解企业的业务使命、愿景和目标。不要专注于自己的角色,而是让每个人都参与到一项任务中。
- 不断研究企业的内外部IT环境和风险。
- 了解企业中的关键人物。维拉纽瓦说,一些员工可能会认为这是“玩弄政治”,但重要的是要知道向谁寻求预算需求或其他要求。
- 了解自己的优势和劣势,了解何时寻求帮助。
- 学习传达合规性的技术要求。帮助来自业务其他部门的同事和利益相关者了解为什么这些要求很重要。
- 接受你工作的现实,这意味着期待并计划应对阻力。 “有些人会不公平地看待我们制定的安全政策和数据来源政策,并说这是不必要的负担。具有讽刺意味的是,其中包括公司的一些关键管理人员,”Vlilanueva 说。
- 采取主动、积极的态度——并记住你可以为你的组织带来改变。 “它(积极的态度)不会完成工作,但它将帮助您成为更好的 IT 安全审计和合规专业人士,”Villanueva 补充道。
安全和合规专业人员面临哪些障碍?
Villanueva 表示,这些建议可以帮助安全和合规专业人员克服常见的障碍。障碍可能包括业务的“筒仓”性质,其中其他部门将安全视为“IT 问题”。
正如 Villanueva 解释的那样,销售部门的目标可能是减少某些流程中他们认为的摩擦。与此同时,IT 部门可能认为一些摩擦有助于确保这些流程的安全。同样,技术内部和外部的员工可能会关注功能而不是着眼于大局。
“一些公司采用零敲碎打的方法来更新他们的服务器、端点和数据库,”维拉纽瓦说。
请参阅:在 ISC2 安全大会上,SentinelOne 首席信息安全官 Alex Stamos 被任命为成为当今网络安全专业人员最紧迫的问题。
此外,董事会成员和高管可能不会优先考虑网络安全。
过度依赖技术也会对企业造成损害。安全和合规专业人士必须认识到,过度依赖技术本身可能会造成损害,正如维拉纽瓦强调的案例,例如七月,律师们正在因使用 ChatGPT 受到处罚,作为过度依赖技术的相关例子。
如何在您的企业中应用这 7 个习惯
Villanueva 强调,安全和合规专业人士不应关注日常挑战,而应考虑大局。他提醒与会者注意古老的商业主线的重要性:人员、流程和技术的“三足凳”。
维拉纽瓦建议解决工作中团队孤立问题的一种方法是更频繁地举行会议。 “有些会议是浪费时间,但会议对于让每个人都参与进来确实很重要,”他说。
他建议董事会尽可能多地参与。维拉纽瓦预测,有一天,上市公司可能会被要求在董事会中任命一名人工智能专家。美国证券交易委员会 (SEC) 考虑从 2022 年起强制要求一名网络安全专家担任上市公司董事会成员。不过,它在 2023 年之前撤回了该提议。
最后,Villanueva 提醒安全和合规专业人员监控第三方风险。他说,在一家游戏场所,威胁行为者带走了一大堆个人身份信息,因为他们能够通过管理鱼缸的第三方供应商闯入。
免责声明:ISC2 支付了我 10 月 13 日至 16 日在拉斯维加斯举行的 ISC2 安全大会活动的机票、住宿和一些餐费。