布鲁内尔大学CISO（首席信息安全官） Michael Jenkins MBE在DTX网络安全迷你峰会上讨论了CISO应该如何改变整个组织的网络安全功能的方法。

   詹金斯以前在军队中度过了很长的职业生涯，包括反情报工作，并且在规划2012年伦敦奥运会的安全工作中也发挥了重要作用。2017年，他的任务是通过一项五年战略，将布鲁内尔大学的网络安全能力变成整个行业中最好的网络安全能力之一。他说：“最终，目标是使企业从网络弹性的低成熟水平一直到行业最佳水平。”

   在计划制定的三年左右，詹金斯讨论了他为实现这一宏伟目标而采取的方法。他说，第一步是激励组织中的每个人，包括研究人员，员工和学生，“关心数据，可能比从我们那里窃取数据的犯罪分子关心的更多。”

   这是通过与校园里的人们进行定期对话来实现的，帮助他们了解网络犯罪分子的运作方式，并“看到这是我们共同实现的非常可信的目标”。詹金斯补充说，对他来说，了解该机构的学者和学生的工作也很重要，以使他“以一种既可以被他们接受，也可以被我们社区所接受的方式帮助保护他们的数据”。这使他们能够理解为什么要采用特定的安全措施并予以接受。

   下一个要素是发展合适的战略团队和合作伙伴，其中包括一小撮精通Brunel大学及其网络安全战略的个人需求的供应商。该策略包括开发分隔的“安全数据天堂”，以及监视访问控制中网络威胁的能力。詹金斯解释说：“我必须将其塑造并平衡到我们当时的业务中-我们不是银行，保险公司或高端政府部门，我们是一所大学，所以这一切都与按比例分配和明智的基于风险的情报有关。驱动的活动。”

   现在已经建立了这种能力，并且在五年结束时正朝着零信任模式发展。他强调了确保每个人都了解这一最终目标的重要性，以及在面对大学面临的威胁时为什么需要这一目标。他指出，像布鲁内尔这样的大型大学是诸如组织犯罪团伙和民族国家等复杂威胁者的主要目标。

   为了帮助IT部门和执行委员会买单，詹金斯（Jenkins）利用定期的模拟攻击练习来演示成功攻击可能造成的破坏。他说：“这一切都回到每个人都明白为什么-我们为什么要这样做事。” “过去几年中，我们开发的最伟大的功能之一就是向我们的所有IT从业人员以及主要领导者和员工提供了态势感知，了解攻击者如何进入网络，他们的横向移动，如何获得提升的特权，如何他们以目标为目标进行行动-整个端到端的杀伤链。”

   詹金斯认为，这种模拟练习有很多优点，尤其是可以从员工和董事会那里获得更大的认可，并可以发现业务中的弱点。他补充说：“这使董事会有信心他们的钱用得其所。”

   网络安全很大一部分是人为因素造成，所以在一个信息系统中信息安全管理制度非常重要，无安全意识，简单的弱密码口令加上随意插接U盘至电脑等任何一种小的举动都有可能让黑客获权，攻击电脑，威胁系统安全。网络安全关系到组织中的每一个人，皆不可掉以轻心。