CISO的真正挑戰：密碼管理、IoT安全&合規性

随着越來越多的公司安排了ciso，在企業責任方面ciso似乎越來越接近其他的高管。不過有些ciso尚不知道如何與其他高管合作，另外一些ciso則仍然在試圖彌合技術和業務之間的溝通鴻溝。

無論在哪種情況下，這個職位還在不斷發展，ciso面臨着很多挑戰。在2016年rsa大會的小組讨論會中，baxter international醫療裝置網絡安全技術主管pavel slavin表示，企業通常會優先處理錯誤的事情，而沒有發現他們真正面臨的挑戰。

“我們通常專注于制造安全錯覺的東西——漂亮的報表、圖表和我們成功阻止的威脅，然而，63%的使用者已經丢失了其私人醫療資訊，并且去年我們有兩個打點滴泵被攻擊，”slavin表示，“我們可能過于強調我們的保護力度了。”

sans研究所新興安全趨勢主管兼該讨論小組主持人john pescatore認為，ciso需要發現其企業面臨的具體網絡安全挑戰，并能夠解決這些問題。“ciso的挑戰是根據企業以企業所在的垂直行業、企業資料的價值以及其他因素平衡安全的重要性，”pescatore稱，“為什麼有些公司沒有遭遇資料洩露事故？那是因為他們有高品質的成熟的安全團隊，并且，他們能夠在企業中引領某些變革。他們還有優秀的ciso，以應對企業、技術以及人員面臨的真正挑戰。”

那麼，ciso面臨的共同挑戰是什麼？下面讓我們來看看這些挑戰：

ciso面臨的真正挑戰

據安全專家表示，有時候資訊安全團隊沒有做好的都是簡單的事情。herjavec group首席執行官兼創始人robert herjavec表示，“密碼重置可能是大多數公司會遺漏的最簡單的事情之一。”

rsa大會另一個小組成員是rich products公司首席資訊安全官don smyczynski，他談到了他最關注的問題：

1.知識産權遭竊取。smyczynski稱：“人們認為資料是他們的，他們可以任意處理資料；我們可以很好地保護流程，但資料仍能夠被複制。這是真正重要的。”

2.工業控制系統。“我們在當機方面做了很多，而這些冰櫃需要進行适當管理在白天保持足夠低溫，在晚上不會太冷，”smyczynski表示，“我們非常需要了解相關風險，以及保護所有ip連接配接的工業控制系統，無論是當機還是離心機，這關系到生命安全。”

3.物聯網。“工業工程師認為他們知道一切，在他們操作之前，不想等待it安全來給他們訓示；他們想要安全而迅速地工作。”

4.第三方供應商管理。“我們的生産和制造工廠雇傭了很多人員，他們有權限通路每個位置；檢視多少人通路系統是一項艱巨的任務，有些人甚至已經離開公司，”smyczynski稱，“考慮到供應商的網絡是公司自己網絡的擴充，供應商網絡也應該被考慮進來。你的供應商的安全做法可能最終成為最大的影響因素。”

ciso面臨的其他挑戰包括合規性挑戰。對于添加到企業網絡的新裝置或系統，ciso可能需要采取冗長而複雜的步驟來確定企業的合規性。varmour公司首席資訊安全官（也是sears online前任首席資訊安全官）lazarikos表示：“大多數ciso會圍繞合規性來制定預算，将項目與投資關聯在一起。”

例如，如果裝置或機器将被放在監管網絡中，那麼，對該裝置的投資應該考慮到以下安全成本：

我必須執行供應商審查

裝置如何進行修複？

誰有權限通路該裝置/系統？

該裝置需要何種類型的安全監控？

誰在監控該裝置的安全問題，供應商還是最終使用者？

如果裝置被攻擊，誰将會通知最終使用者以及如何通知？

無論是合規性、iot安全性還是基本的密碼管理，現在的ciso都面臨着很多挑戰。而且，更重要的是，這些挑戰和技術都在不斷變化，迫使ciso和企業上司團隊不斷發展并調整自己的安全計劃。

結論

ciso的責任是保護其管轄範圍内的東西，但說起來很容易，事情不止如此。對于不是ciso管轄範圍内的問題該怎麼辦呢？下一部分将會側重這些問題并探讨如何解決這些問題。

本文轉自d1net（轉載）