高等教育机构的安全领导面临着独特的挑战,因为他们被指控保存数据和网络安全,同时还允许开放,分享和通信的文化 - 所有学术界的基石。根据大学或大学,预算和人员配置短缺等担忧也可以运行成功的安全计划。那么Cisos如何让他们的董事会投资高等教育网络安全?

在我们一系列帖子的第二部分CISO沟通,我们来看看向董事会提供高等教育网络安全所需的考虑和技能,包括哪些策略将增加其理解和财政支持。

本月,我向波士顿学院和资深信息安全领导人询问了计算机政策与安全主任的David Escalante,以便他对倡导本环境安全所需的观点。


在高等教育中工作的CISOS /保安经理有哪些独特的挑战与公共部门的同行不同?

许多大型大学都是最好的小城市。通常,组织能够专注于少数产品,或在其给定的行业空间中的一系列产品。由于大学的多样性所做的事情,所需的各种软件和运行一切都是巨大的,这反过来又意味着安全团队在所有这些系统上都延伸了薄,而是能够专注于较小的数字关键系统。

大学环境有一个开放文化,并且可以以最少的特权在文化中进行冲突零信任安全模型

未经详细说明,高等教育风险权衡并不理解在许多其他部门中。由于上述不同的系统,因此平衡这些权衡是复杂的。

教育Cisos在组织中与董事会或其他理事机构沟通时需要牢记什么?

教育的董事会,非营利组织,国家实体往往与公共公司委员会一起做同样的化妆品。对于一个非盈利的例子,想到董事会成员是大捐助者的歌剧公司。因此,我们指出,与董事会的网络安全通信的“标准”模板往往不会罢工右侧笔记,因为他们在高级公司官员组成的公共公司董事会上。所以不要只是“抓住模板”。

我们看到的趋势,建议,“告诉董事会故事”的似乎比说颜色编码风险登记册更好。在需要获得的大学运行的系统范围加上董事会有限的详细知识,使得关于特定安全方法的实质性对话困难。最好突出好东西,而不是努力全面。

很难平衡技术与否。使用混合。一方面,董事会成员可能会读到勒索制品将组织带到他们的膝盖上,甚至可能会读取赎金软件,以准备董事会会议,并将期望对象的一些技术材料。另一方面,几乎所有董事会成员都不会是技术性的,因此过度过度技术部件将失去它们。

不要直接与自己的管理链相矛盾 - 如果你要求更多的员工并没有得到它,请不要向董事会询问。

谈到沟通时,您会在何时提供更高的ED Cisos?

在非载层管理方面,如果你还没有,是时候强调这一点安全是每个人的责任。你可以“设置和忘记”杀毒和安全的日子。

现在,社会工程和凭证盗窃是猖獗的,管理层正在消耗个人移动设备的信息。非IT管理需要清楚,确保校园是团队努力,而不仅仅是一个。

At BC, we have been having the CIO, versus the security team, communicate personally with senior management a couple times a year on specific cyberattacks we’ve seen to emphasize that they need to be vigilant partners, and not to assume that IT will catch all threats in advance.