此篇文章发布距今已超过592天,您需要注意文章的内容或图片是否可用!
CISO思维导图,是回答这个问题并向人们解释的一种方式,对解释CISO工作的复杂性非常有帮助,尤其是面对网络安全行业以外的大多数人时。近日,海外安全分析师Rafeeq Rehman发布了2023年的CISO思维导图,涵盖了如安全预算、业务赋能、身份管理、合规审计等CISO工作职责的方方面面。从2012年起,CISO思维导图一直是了解CISO职责的有效工具,并使安全专业人士能够设计和完善他们的安全计划。随着时间的推移,安全专业人员的责任只会越来越大。技术正快速变化,带来了新的业务方式,持续采用云计算以及许多新兴技术(如ChatGPT),许多供应商正在开发类似的解决方案。信息安全专业人员被 "期望 "深入了解这些技术,以及提供关于如何保护它们的政策/指导。由于这个原因,CISO MindMap每年都有新的变化。根据其相关性,CISO思维导图上的一些东西被添加、改变或删除,修改过的和新的项目都用红色标记。此外,作者还给CISO们提出了未来12-18个月的几点小建议:每年,我都会根据与infosec领导人的对话提出建议。我尽量保持客观,避免炒作,只关注数据和研究显示的内容。虽然可能存在一些意想不到的偏见,但目标是提供可以在短到中期内采取的行动。这些不是对未来的“预测”,而是“现在需要什么”来加强安全计划。1.更加关注弹性:评估勒索软件防御、检测和响应能力,执行业务影响分析并识别关键流程、应用程序和数据。测试在可接受的时间范围内恢复系统和数据的能力。要明白,仅仅有备份是不够的。及时重建受影响的系统和恢复备份的能力对于在安全事件发生后使业务恢复正常运行状态至关重要。2.减少并整合安全工具:更多的安全工具不一定能降低风险,但确实增加了保持安全团队专业知识的需求。在决定保留或退役哪些工具时,请考虑功能重叠、未来方向、供应商的创新。3.为安全团队建立一个品牌:虽然信息很重要,但信使的可信度也至关重要。我去年也加入了这个建议,我们需要关注这样一个事实,即信息安全团队不会生活在真空中,必须实现业务和与他人互动。4.解开应用程序组件网络:现代应用程序已成为一个由相互连接的组件、API、多个云和数据中心、开源库、第三方服务(如DNS、电子邮件、内容交付供应商等)组成的网络。了解业务应用程序的工作原理,清点它们所依赖的所有组件,并使其成为漏洞管理计划的一部分。5.掌握新兴技术的专业知识:到目前为止,每个人都听说过ChatGPT和其他供应商的竞争技术。建立技术领域的团队专业知识,包括机器学习(ML)模型、模型培训、API安全、服务网格、容器、DevSecOps。6.创建安全自动化角色:管理安全组织成本和以“机器速度”工作需要自动化。这是今年添加到CISO MindMap的一个新部分。自动维护风险登记册、资产(硬件、软件、API等)库存、扫描和测试。我强烈建议自动化安全指标,以便您可以随时几乎实时地查看安全程序的当前状态。这不是一件容易的事,但这是可行的。作家、乐观主义者、企业家和网络安全专业人士,热爱智能机器、诗歌和拉合尔!
https://rafeeqrehman.com/2023/03/25/ciso-mindmap-2023-what-do-infosec-professionals-really-do/关注「安全喵喵站」,后台回复关键词【报告】,即可获取网安行业研究报告精彩内容合集:《网安供应链厂商成分分析及国产化替代指南》,《网安新兴赛道厂商速查指南》,《网安初创天使投资态势报告》,《网络安全商业观察报告》,《网安创业生态图》,《網安新興賽道廠商速查指南·港澳版》,《台湾资安市场地图》,《全球网络安全全景图》,《全球独角兽俱乐部行业全景图》,《全球网络安全创业生态图》,《Strategy of Security网络安全生态全景图》
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...