执行面试:David Mahon,CSO,Centurylink
David Mahon负责设计和实施Centurylink的全球安全,这是60万英里的互联网骨干基础架构。
该公司拥有超过40,000名员工,拥有20,000名承包商,并在35个国家开展业务,为各个行业垂直提供客户。
鉴于组织的广度和深度,马洪说:“我们看到攻击表面与许多其他公司非常不同。我们很大,我们每天都受到攻击。“
Mahon以前在Qwest Communications的CSO,并在FBI工作,在法律执法,在其他主题中向网络犯罪,白领犯罪和有组织犯罪方案筹备。
随着最近的计算机每周报告,黑客开始利用人工智能(AI)的力量来创造更复杂的攻击。
马洪说:询问可能发生的攻击类型,这是:“我被问到了很多,我告诉人们今年发生的攻击是完全相同的攻击。原因是因为公司没有解决问题。“
Mahon将组织提交三类 - 反应性,积极主动和预测性。“绝大多数组织都是反应的,”他说。“他们可能开始变得更加积极。”
一般来说,从积极主动到预测安全的组织往往是政府,国防,金融服务和安全。
“网络安全战略能够实现企业目标”
David Mahon,Centurylink
Mahon说:“Wannacry不是具有成熟补丁管理计划的公司的问题。如果您有一个正在进行工作的补丁管理团队,他们应该在开发开始时修补。该脆弱性在3月份确定,补丁于5月初发布,攻击发生在5月中旬。“
但马刚对网络安全的看法超出了企业在处理攻击方面变得更好。当他每周谈到计算机时,Mahon敦促企业将其IT资产分析到业务战略,并采用主动网络安全计划。正如每个公司都有业务战略,那么网络安全需要一个策略,他说。“网络安全战略能够实现企业目标。”
Mahon说,网络安全战略需要与组织的经营战略保持一致。
“企业战略遵循一个简单的过程 - 你设计了一些东西,那么你向首席执行官领导团队展示了提出建议的想法,”他说。“当他们发展到他们认为它将达到收入目标的可寻址市场的观点时,他们将其取向董事会。
“但是,评估业务战略的公司战略在哪里,”这就是我们将如何启用它?“如果该网络策略不存在,那么有一组将扰乱收入流的对手。这种攻击对您的股票价格,客户和股东价值有何影响?“
但是,许多企业在制造业务战略时未能考虑到网络安全,因为业务推出数字化和事物互联网的业务越来越明显。“问题是首次上市的哲学,”他说。“当您的家庭安全系统可以被窃贼突破时会发生什么?如果您的家用暖气在早上7点左右下午5点开始,我可以告诉你不在家里。“
随着企业变得更加数字,网络安全将变得越来越相关。例如,获取信息管理。信息管理的目标之一是提供单一版本的信任 - 一个金色客户记录 - 但数据收集呈现数据,法律,监管和合规问题。
企业可能拥有数据的孤独,它一直从客户收集。风险Mahon看到的是,当经营战略中的某人想要将这些筒仓开始汇集到数据湖中,作为某种数字转型计划的一部分。数据湖使得可以匿名数据并将其与个人数据联系起来。“这是否意味着整个数据湖都需要成为PARI [PARMATING CARD INDUSTION] - 替换或GPR [一般数据保护规范]计划的一部分?”他说。“将在哪里建造或运作它的工作人员在哪里?”
Mahon说,在2013年对美国零售商目标的大规模网络攻击攻击美国零售商目标的大量网络攻击之后,Mahon表示,在公司董事会级别的网络意识方面已经转变。
“我们看到律师推动的变化,他已经决定如果我们起诉,”他说。““他们正在使用与医疗事故和课程诉讼的相同的疏忽理论。他们正在起诉公司,他们正在起诉董事会。“
对于马刚,这意味着董事会现在非常了解网络安全。在美国,网络保险现在正在董事会的议程上。
Mahon表示,随着网络保险业务的成熟,因此对网络风险的理解。“在网络保险的早期,当我们的保险团队介绍经纪人和承销商时,他们会问我一个幻灯片,”他说。“现在他们想要我在议程上,我需要在那里两个小时来解释我们的所有安全工作。”
Mahon说,保险公司意识到他们对他们承保的政策表示不了解他们所承保的政策,指出保险公司现在开始聘请首席安全人员进行网络风险评估。
对于马来,这是Furer的证据,即企业需要将他们的网络安全战略与他们的业务战略对齐。
显然,CSO将面临患有他们正在放缓进展的商业经理的抵抗力,但任何公司都会故意发布缺陷的产品吗?随着公司踏上数字业务举措的努力,至少对于马刚来说,这是一个明确的 - 网络安全应该是讨论的商业领袖的关键因素。