约翰逊表示，身份认证和访问管理是许多方法失败的一个领域。在她看来，没有理由要采取每月、每周，甚至每天去提供用户凭据，一旦一个人离开一个组织，“在科技时代，当有人离开单位时，你不能只是关闭他们的帐户，有时要严格到甚至清除他的一切痕迹。”她说。“而只关闭帐户在某些时候是一种懒惰的感觉。”

“当有事情发生时，网络安全是最重要的。”约翰逊解释说，解决事件最重要的一点就是组织根据原则对事件和危机进行管理，这是她的意见。根据她的经验，在通常的情况下，当高层的电话泄密或以前不关心的漏洞导致事件发生时，人们才会在网络安全功能方面进行投资。

约翰逊说，即使已经离开白宫，她还是接到了前雇主的电话，讨论近期关于如何对网络安全事件作出正确回应。她表示，这不仅是一次性事件的响应，而应该是进一步的成长与教育“终身的机会”。

如今，网络安全一定是企业业务环境的推动者，根据她以前的说法，这是一个成长的机会。“如果网络安全失败，那么其他一切都会有可能出问题，”她说，“如果网络安全没有正确处理，那么业务指标、销售和机遇这些方面都有可能出问题。”

整体缺乏网络安全防范是约翰逊主要关注的一个问题，特别是在眼下的物联网时代，她解释说，我们现在生活在一个信息孤岛，没有进入到一个真正的物联网的世界：“如果我们不能获知和处理现在的安全危机，那么在发生危机时，我们所有的信息已经都在那里，那时已进入一个融合状态。”她总结说，人们不仅考虑到现在所面对的情况，而且要考虑到做出的决定将如何影响其未来，因此要衡量风险和安全。

　　管理变革

绝大多数的安全漏洞并不是那些老练的黑客利用漏洞攻击的结果。大多数漏洞可以通过适当维护和配置系统有效地弥补。约翰逊引用的数据表明42%的漏洞是由于系统错误配置造成的。

这些错误配置的系统几乎在所有组织中普遍存在。“我曾工作在国家安全局，联邦调查局，中央情报局，国防情报局，洛克希德-马丁公司，诺瑟普-格鲁门公司，甚至白宫，他们在配置管理并没有采取很好的做法。”约翰逊说，白宫需要招募一个变更管理联络负责人，以协调网络上发生的所有变化。

但是，管理配置的变化并不是安全计划所需的唯一类型。如何与IT安全部门交互，转变业务视图将是至关重要的，并将推动安全领域业务的发展。

采用新产品或更新产品，必须经过网络安全评估，这个过程是非常必要的，企业可以与客户交流并对他们产生潜在的影响，约翰逊说。“网络安全一直被视为可怕的群体。”她感叹道。她希望人们从“没有，但”转为“是的，和”的态度，从而让安全文化更加具有前瞻性。

这是人们对于安全和风险的认识。对于管理一个企业，安全计划的过渡意味他们会评估其他业务的风险，以确定是否愿意接受他们，或减轻它们。

　　填补漏洞

有许多问题需要解决的时候，就需要制定一个全面的信息安全计划。但企业如何制定简化策略?在约翰逊看来，可以采用三种方法，大多数公司会在任何时间使用这三种方法的组合。所谓的“信息安全”的三个阶段是：激活(建立安全)；适应(内置安全)；预期(超越安全)。

“我认为所有的组织经历了所有这三个阶段”，据约翰逊观察。组织采用静态的防御姿态只是反应事件，而动态的预测安全，可防止事故发生或实时检测到危险靠近。

“这就像填补漏洞一样，”约翰逊说，“人们总是在填补漏洞，除非有一个很好的改变改变未来的策略。如果只是填补漏洞，那就永远是被动而不是主动。我不是漏洞填充物。”约翰逊总结道。

(责任编辑：安博涛)