Infosec Veteran John Walker说,现在应该违反现在的衰退
根据安全资深John Walker的说法,数据泄露现在应该下降,而不是仍然增加。
他表示,最近披露的释放在雅虎留下了5亿用户账户,表明许多公司甚至是大公司,并没有采取必要的步骤来保持数据安全。
“我希望他们能够拥有足够的恢复力和能力,以知道他们被违反了,”他每周告诉电脑。
“当我看到雅虎的喜欢被违反和违规行为的时候继续攀升,我必须在哪个点组织终于达到它,我们看到数字下降。”
在35年来致力于信息安全的Walker表示,鉴于侵犯公司和整体经济的违规成本,潮流现在应该转过身来。
“问题是我们已经接受并连接了这么多的技术,我们拥有这些巨大的IT环境,没有人真正理解,但我们已经过分了解了一些事情,”他说。
然而,Walker认识到能够呼叫停止的巨大挑战,返回退步并解决问题。“这一点是,我们必须从某个地方开始,”他说。
沃克已被提名在“安全领袖”和“行动感”类别,在伊瓦尔设施严重的未被联想的英雄奖项中,在10月4日举行。
他定义了一个良好的信息安全领导者,作为愿意讲话的人说,没有其他人愿意说的话,他承认有时会痛苦。
沃克被公认为信息安全社区的第一人称,在击中新闻头条新闻前一年在网络间谍活动中在网络间谍活动中谴责中国。
“这让我造成了很多痛苦和悲伤,因为发现了与他们有不安全感的强大国家的事情,突出这些存在并帮助他们修复,”他说。
安全领导也需要勇气来识别风险并成为争议,如2008年,沃克说互联网可以贬低,人们将开始计划这样做。
“根据新闻报道,有一个国家寻求这样做的国家,我可以看到它可以通过许多记录良好的缺陷来看待它。”
“互联网并不像我们认为的那样有弹性,但这是说许多人不想听到的东西的一个例子。”
这也是一些公司可能在业务连续性规划方面准备的东西,尽管如果互联网已经下降了许多人会出于营业的事实。
“任何可以取下互联网或互联网部分的人并将他们再次备份,将处于一个极其强大的位置,”沃克说。
“只是取出一个单一的领域,如.co.uk一天会产生重大的经济影响,并吸引大量的媒体关注和覆盖范围。”
在业务背景下,Walker表示,许多首席信息安全官员(Cisos)需要改变他们当前的模型成为真正的领导者。“最倾向于非常非常董事中心,”他说。“他们主要涉及将人们保持在最高乐趣。”
因此,Walker相信许多Cisos与该公司日常安全运营的人员不关会。
他说,还有一个倾向于披露违规行为,因为他们可以绕过它,因为这可能对品牌和股价产生负面影响,这不会与董事会享受很好。
“许多Cisos在正确的意义上没有照顾安全性,”他说。“相反,他们正在管理行政意义上的安全性。他们已经变得太远了,从实际目标中被删除了。“
Walker还认为遵守的强调符合性而不是真正的安全性。“治理和合规性似乎引领方式,而且,通常,80%的信息安全预算致力于令人满意的治理和合规性要求,”他说。
他说,部分问题是,各种合规人员坐在单独的垂直方面,例如PCI DSS合规性。
“我们需要看到的是更常见的基础,螺母和螺栓安全性与治理和合规人员坐下,以及审计员 - 谁并不一定是在合适的水平上理解安全 - 并围绕真实的辩论安全性看起来像,“沃克说。
他说,另一个是安全领导缺乏的地方,他说。“风险的胃口似乎正在增长,因为如果之前没有发生业务风险则变得”可接受“,”他补充道。
“但如果它实际上发生,那就不会”可接受“,所以不应该这样定义,因为越来越大的风险偏好会导致很多事情所做的那些并不总是正确,而且人们只是简单地逃脱因为他们已被签名为“可接受”的风险。这是一个需要更多关注和调查的地区。“