Delta航空公司Deborah Wheeler:从数据泄漏事故中学习经验

日期:2017-8-9作者:Alan R. Earls翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

从Word到航空公司:Deborah Wheeler在2月份接受了新的挑战,担任Delta航空公司首席信息安全官。Delta航空公司是美国最早的航空公司,它从农业(除尘作业)发展到提供国际货运和乘客服务,每天飞行超过5000次。作为Delta航空公司IT领导一员,Wheeler向CIO报告工作,主要负责保护该全球运营商和数百万乘客的敏感信息。

Delta公司在这个动荡行业中的“长寿秘诀”是愿意接受技术进步,并可迅速从IT故障中恢复,例如广泛的电脑故障。从今年夏天开始,该航空公司正在Minneapolis-St. Paul International Airport开展面部识别技术试点——面部图像与客户护照进行匹配,以加快自助行李提取。JetBlue航空公司也正在为从波士顿洛根国际机场飞往加勒比地区的航班进行类似试点活动。

本文中对Wheeler进行了采访,了解更多有关她在Delta航空公司CISO新职务以及旅游行业面临的独特挑战。在加入Delta之前,Wheeler花了20年时间在金融行业磨炼其在安全方面的技能。此前,她曾在Freddie Mac、Ally Financial和Fifth Third Bank担任CISO职务,她还曾在摩根大通和PNC Bank担任信息安全领导角色。Wheeler拥有CISSP和CRISC认证,毕业于科罗拉多大学,拥有信息系统管理学位。Wheeler表示,在职业生涯的早期,“研究病毒”的需求引发其过渡至信息安全领域。

您已经在信息安全领域从业多年,在开始时是怎样的?

Deborah Wheeler:我实际是在1994年进入安全领域。当时,我们正在学习一种感染Word文档的病毒;它会将字母扔到屏幕底部。我们以为这是世界末日!我们还发现Lotus Notes电子表格不能正确计算,所以我最初接触的信息安全与现在截然不同。

我认为有趣的是,如果我们相信大约20到30年前人们的警告,我们也许可以更好地确保安全性;作为一种物种,我们往往有些目光短浅。那个时候,人们无法想象网络战争:这是什么意思--没有流血的战争?人们也无法想象世界上所有事物都由电脑来运行。

您是如何最终进入信息安全领域的?

Wheeler:就是突然发生的。我当时正在担任系统工程师,我的老板要求我研究病毒,这是我在安全领域的第一个项目。从那里,我开始学习访问管理、扫描系统和删除未使用账户,这些是安全早期阶段的主要关注问题。

随后我去了美国匹茨堡的Allegheny Health and Research(Allegheny总医院和该州其他医院的总公司)担任网络安全经理和安全主管,负责部署防火墙和第一个多因素身份验证系统,这在全州范围部署。然后我去了PNC银行从事安全方面的工作,他们当时刚刚开始网上银行工作。

您在Delta的重点工作是什么?

Wheeler:我最担心的不仅仅是我们正在保护的财务数据;还有可能被滥用或者导致伤害或死亡的关于客户的高度机密信息。我们每天都在运载无人陪伴的未成年人,还有提前数周或数月订票的高知名度客户搭乘我们的飞机在全国各地飞行。所以我的部分工作是考虑数据可能被利用的所有方式,并确保信息访问仅限于需要知道信息的人。以后可能会有很多不眠之夜,所以我会尽量在白天主动出击,确保这些噩梦不会成为现实。

您是否与其他CISO交流或者分享专业知识?

Wheeler:我不喜欢太多公开演讲,而且因为我的工作要求很高,所以没有太多时间参与交流活动。

我已经在信息安全领域很长时间,并没有很多其他人像我在这个领域这么长时间。然而,有些人经历过某些类型的数据泄露事故,他们是很好的信息来源,你可以学习他们所学习到的经验或者做得不足的地方。

您在Delta担任CISO最大的优先事项是什么?

Wheeler:最终用户和教育:这是第一道防线。我们需要让人们认清安全现实,帮助人们了解他们在保护登录凭证安全抵御网络钓鱼攻击方面发挥的作用。访问管理是另一个优先事项,如果我们没有正确进行访问管理,其他都是白搭。我经常会谈论这些话题。

除此之外,我希望Delta是我最后工作的一家公司,因为我很享受在Delta的时光,并希望在航空方面有所作为,然后我就可以退休了!

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Alan R. Earls
Alan R. Earls

TechTarget资深作者

建立和管理信息安全策略>更多

相关推荐

  • 当安全团队在寻求解决方案的时候,他们在寻找什么?

    如果你问一些安全购买者在找什么样的方案或产品,其中的多数可能会说还没有找到正在找的东西……

  • 首个全国大规模区块链应用项目落地广东佛山

    6月22日,由光载无限集团和佛山市禅城区政府联合举办的智信城市与区块链创新应用(禅城)发布会在广东佛山举行,正式发布智信城市计划并启动IMI数字身份平台,宣布全国大规模区块链应用项目首次落地。

  • 隐私vs.安全:该如何平衡?

    中国的《网络安全法》已于今年6月1日正式开始实行,这给现代企业在维护信息隐私和安全性方面带来更多的挑战,也将对如何平衡隐私和安全性的探讨推上风口浪尖。

  • CISO:你真的了解你的企业安全架构吗?

    关注安全装备是实现透明性的首要一步。这些问题包括:在针对每种安全风险时,企业安全架构中的产品如何有效地完成任务?每种产品或服务的准确率如何? 这些产品真正地满足企业的安全合规需求吗……

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心