专家说,Infosec Pros应该开始为未来做准备
根据专家组,信息安全专业人员应计划增加其技术和非技术技能,以确保他们能够将来为其组织提供价值。
小组告诉(ISC)2届,欧洲,中东和非洲2015年慕尼黑,他们还应寻求与业务的所有部分更密切地工作。
“首先,他们需要了解他们需要在处理人员,流程和技术方面培养他们的技能,因为只有一个综合方法将有效,”(ISC)的首席执行官David Shearer说。
接下来,Infosec专业人员需要违反其安全筒仓,并与业务的所有部分互动,以帮助每个部门了解信息安全的相关性和重要性。
欧洲安全总监Georg Freundorfer,欧洲安全总监Georg Freundorfer表示,他们需要努力了解信息安全的作用和相关性,“欧洲安全总监Georg Freundorfer表示。
“Infosec专业人士应该通过向业务解释网络安全相关风险来努力将安全性带入管理的思维方式,这反过来应该鼓励高级管理人员提供减轻和管理这些风险所需的资源,”他说。
据阿德里安·戴维斯(ISC)2号董事总经理
“他们需要通过更加努力提高高管的认识并定制信息来使信息安全更有趣和相关,以使其对不同的部门来说清楚地对业务增加价值,”他说。
作为参与过程的一部分,Freundorfer表示,Infosec专业人员应该询问他们认为他们认为对其部门的风险或特定威胁的商业经理,以确定他们如何帮助商业领导者对安全能力支持支持他们的能力。
“留在筒仓里面的信息技术人士将随时倾向于是有动的。相反,他们应该从企业中找到他们如何提供帮助,“他说。
信息安全专业人员的另一个关键策略应该是确定业务的目标,然后展示他们如何支持这些目标,在Verizon欧洲风险智力团队的高级调查答辩和法医顾问表示。
“他们还应该假设该组织的网络已被违反并努力确保他们有能力检测违规并迅速回应,”他说。
德国佛罗里尼亚州的首席信息安全官员表示,在新项目上,特别是关于新项目,还应向商业领袖询问商业领袖关于保密,诚信和可用性.Deutsche Flugsicherung。
“他们经常专注于项目 - 即使他们考虑了安全性和隐私,即使他们认为安全和隐私,他们往往没有考虑保密,完整性和可用性的系统,服务和数据,”他说。
最后,根据CiaránMcMahon,RCSI(爱尔兰皇家外科医生)的CiaránMcMahon,心理学研究和发展协调员的说法,Infosec专业人员应该与商业管理人员合作,以帮助他们了解网络威胁环境以及如何工作。
“在高级行政层面,恐惧有一个致力的作用。他们需要明白他们可能被黑了,并且只是一个问题,发现了什么程度,“他说。
在信息安全的网络心理学的演示中,MC Mahon表示,一般来说,恐惧不是鼓励良好的安全行为的良好策略。“回应并不均匀,兴奋往往会迅速磨损,”他说。
相反,Mc Mahon表示,Infosec Pros应该旨在帮助一个组织中的每个人都了解他们是信息安全的一部分,并且甚至可以在制定反映其价值观和信念的信息安全政策时发挥作用。
“重点应该是代表团,赋予雇员的权力 - 即使是临时员工也需要将自己视为本组织的一部分,”他说。
MC Mahon表示,安全的人类方面仍然是一项重大挑战。“人们应该是一个组织中最强的安全控制,但通常是最薄弱的环节,”他说。