明年首席信息安全官(CISO)的首要资金优先事项揭示了当今企业面临的根本挑战:他们需要更多的人才,他们需要更好的员工培训。CISO正在做些什么来解决这个永远存在的痛点?
“没有足够的安全人员可用,”工业自动化和信息技术提供商罗克韦尔自动化的首席信息安全官Dawn Cappelli说。“网络安全行业人才短缺,你需要先进的网络安全技术才能完成工作。”
福布斯洞察最近对200多名首席信息安全官进行的调查发现,人才和培训限制对安全组织产生了重大影响。更重要的是,结果表明,那些采用孤立的安全方法的组织比那些采用强大的企业级战略方法的组织产生更大的负面影响。
“这是关于利用组织的其他部门,”全球航空公司United副总裁兼首席信息安全官Emily Heath说。“安全常常让自己陷入困境,肩负着世界的重担。它确实是整个组织的责任。但他们确实希望我们提供咨询,建议,培训和教育。“
员工和利益相关者
对进行最佳实践以防止或减少针对内部人员的攻击,例如网络钓鱼。2018年,超过三分之一(34%)的网络攻击涉及内部参与者。[1]将整个企业的意识和行动视为人类防火墙。
“安全并不仅仅存在于我的团队中 - 它存在于整个组织中,”Heath说。“对于教育和培训而言,领导力对于您如何影响文化中的变化非常重要。最终,要改变文化,你要求人们做点什么
不同。如果你解释为什么要求人们改变,你会得到更多的采用。这归结为与其他员工保持透明[这样你就可以]教育,影响和利用你自己团队以外的资源。“
建立安全意识文化。
美联航为该航空公司的员工建立了“网络大使”和“安全之友”的概念,他们在各自的部门内部注意安全。希思以IT为例。“开发人员不是贸易安全专业人员,但如果你教育他们并给他们工具以确保他们发布的代码是安全的,那么他们将获得所有权。但你不能指望他们这样做而不解释原因,并帮助他们理解为什么这对他们很重要。“
美联航拥有约90,000名员工,因此Heath强调沟通的重要性,并将安全性嵌入组织的DNA中。“我们相信对安全非常诚实和透明,”她说。“我们以非常实际的方式与我们的员工讨论网络实际意味着什么,以便在他们的工作中与他们相关。因此,我们拥有一整套人员,他们专注于在联合航空的运营中以及在我们的教育和意识团队中嵌入安全的文化方面。“