卡洛斯·安德烈斯·罗德里格斯 (Carlos Andres Rodriguez) 发表, Kyndryl Consulting 实践领导者和网络安全专家。
随着年底的临近,公司正在制定经营平衡和未来计划。 本次分析中不可忽视的一个重要问题是信息安全策略。
随着无数供应商提供类似的解决方案,驾驭网络安全领域对企业来说似乎是一项艰巨的任务。 在外包和内部网络安全之间做出决定时,企业领导者也可能会面临不确定性,以及每一个选择所带来的后果。 即使这些细节得到解决,在组织的网络安全策略中仍有许多不同的因素需要考虑。
每家公司的 IT 基础设施和技术都是独一无二的,因此每家公司都需要采取特定的网络安全方法。 尽管如此,强烈建议所有希望提供有效网络安全保护的组织采取四个关键步骤。
1. 让我们上云
根据 ISC2 的《2022 年云安全报告》,目前有 39% 的公司在云端运行超过 50% 的业务,到 2023 年这一数字将增加到大约 70%。 通往云的道路带来了挑战,例如多家提供商的运营以及缺乏合格的网络安全人员来满足对安全云迁移策略不断增长的需求。
此外,根据 Kyndryl 的“Kyndryl 2010-2021 年主要 IT 中断分析”研究,实施云战略将运营失败率从 2010 年的 52% 减少到 2021 年的 9%。
以上表明,通往云的道路对组织来说是积极的,但必须保证有效的网络安全模型和支持该模型的有效控制。
2. 投资 DevSecOps
安全团队通常无法充分控制应用程序开发生命周期。 公司从超大规模和捆绑的开源应用程序中购买功能,但他们没有考虑小部件和框架之间的接缝。 这些组织需要一组作为代码创建和实施的策略。
通过利用 DevSecOps,组织可以确保安全性在软件开发生命周期过程中更早地纳入,并且也是整个 IT 结构的共同责任。 从第一天起,从 C-Suite 到编写代码的开发人员,安全性都应该被视为优先事项。
事实上,开发人员是确保整个软件交付生命周期安全的关键。 您的安全方法应该是一致的,这意味着它应该内置到您编写的每一行代码中。 为开发人员提供与安全团队的开放式沟通渠道以及相关培训是实现这一目标的关键要素。
3. 准备治愈
公司需要了解他们的业务关键系统是什么,并假设它们会被黑客攻击。 如果没有系统,他们能管理多久? 他们将如何恢复数据和设置? 他们需要考虑他们的数据和服务在哪里; 同样,通过在此过程中相应地分配优先级来预测如何恢复它们。
虽然对预防措施的投资仍然是必要的,但如果认为它会 100% 有效,那就太天真了。 没有网络安全解决方案是完美的,因为总会存在漏洞。 对话,“我们如何防止攻击?” “我们如何生存?” 因此,不实施有力的愈合过程将是完全的疏忽。
4.中间简化
组织几乎在不知不觉中为其业务获取了许多网络安全解决方案的情况并不少见,这些解决方案无法正常工作。 这很容易发生,因为新技术可能会被仓促采用以应对安全漏洞,或者作为包含其他功能且未经 CISO 评估的技术套件的一部分。 因此,组织可能面临一组工具或各种未连接技术的断开连接结构。
构建更具弹性的 IT 基础架构是确保整个组织安全的关键。 重要的是首先要关注工具和技术的集成以及整体结果,而不是逐个解决问题。 将不同技术集成到技术结构中的最简单方法是简化它。 CISO 需要有机会彻底“清理”技术织物壁橱。 在整个过程中,他们应该识别组织的核心能力; 任何超出这个范围的东西都可能灭亡。
随着网络攻击者的手段越来越复杂和复杂,保持健康的网络安全态势并非易事。 然而,这绝不是不可能的。 通过遵循上述原则,网络安全专业人员可以支持警惕和敏捷的方法,并为 2023 年的连贯战略奠定基础。
#如何确保贵公司的有效网络安全 #Technocio
