Domino's 连锁披萨公司的集团首席信息安全官 (CISO) Stephen Bennett 将他的组织描述为"我工作过的最大的创业公司"。
作为首位担任该职务的人,他在一定程度上能够定义这个职位的职责。最初,他"甚至找不到问题所在",所以他坐在高级员工旁边,了解安全职能部门的运作情况。他还成了"会议常客",努力了解组织的需求,因为起初很难获得与高管会面的机会。
Bennett 与董事会的第一次会议是一个转折点,他意识到必须从业务和技术两个角度理解安全问题。其他业务部门并不太关心技术问题,因为他们专注于盈利。因此,CISO 的角色需要致力于推动业务发展,并在少数情况下,防止公司犯严重错误,比如荷兰分公司计划推出的 Domino's Dating 应用就存在严重的隐私问题。
这关乎识别组织的"核心资产",需要如何保护它们,以及需要多少成本。正如 Gartner 研究副总裁 Christine Lee 在最近悉尼举行的 Gartner 安全和风险管理峰会上的主题演讲中提到的,想要更多保护就需要付出更多成本。在 Domino's,恢复点目标仍在这个背景下讨论。
Bennett 建议 CISO 应该"与董事会成员交好",了解董事会想知道和不想知道什么。这可能包括五大风险及其管理方式的报告,并以适合董事会的方式呈现 —— 例如,避免使用"终端"和"框架"等技术术语。
当他按要求在店铺工作两天时,又有了一个新的发现。他发现披萨上放多少奶酪、烤多长时间这些极其具体的指示其实就是治理的一个例子。他质疑,如果店铺能接受这样的治理,为什么在涉及良好安全实践时,其他业务部门却不能接受治理呢?
当被问及会给年轻时的自己什么建议时,Bennett 说他应该更早地与其他业务部门沟通,而不是在头两年沉迷于技术。到那时,他已不再是公司的新人,第一次接触其他部门的同事反而变得更困难。
在 UniSuper,CISO Vijay Krishnan 谈到了组织韧性的必要性。该退休基金在 2024 年 5 月因 Google 的"无意配置错误"而遭遇重大故障,导致 UniSuper 的 Google Cloud VMware Engine 私有云被自动删除,而该私有云承载着会员管理系统。
得益于 UniSuper 已经采取的各种措施,这个问题用了大约三周时间才完全解决。组织启动了危机管理计划,成立了重大事件团队,并与 Google Cloud 密切合作。
"真正帮助我们的是我们健壮的、冗余的多云架构,"他说。"我们的生产系统分布在多个云服务提供商中,而且在每个云服务提供商内部我们也有多站点冗余。"
但在这次事件中,冗余并没有太大帮助,因为 UniSuper 私有云的删除影响了两个区域。相反,公司依靠其健壮的备份实践,包括不仅在 Google Cloud 存储备份,还在其他两个服务提供商存储备份副本。
基础设施即代码的使用也加快了恢复速度,"灾难恢复计划和测试起到了重要作用",尽管计划中并未包含触发此次故障的黑天鹅事件。
UniSuper 还制定了业务连续性计划,并模拟了一次事件,这对恢复工作产生了影响。这包括让危机管理团队在任何故障发生前练习良好的沟通。
当被问及他会建议观众回到工作岗位后检查哪一两件事时,Krishnan 说"确保你的备份是万无一失的",并将副本存储在远离主系统的地方。他补充道:"查看你的架构...确保它稳健且具有韧性。"
好文章,需要你的鼓励
谷歌发布代理支付协议AP2,支持AI代理代表用户自动购物和决策。该开放协议获得60多家商户和金融机构支持,旨在实现AI平台、支付系统和供应商间的互操作性。协议要求两级审批机制:意图授权和购物车授权,确保交易可追溯。支持全自动购买和加密货币支付。万事达、美国运通、PayPal等主要金融服务商已表示支持。
腾讯混元团队推出P3-SAM系统,这是首个能够自动精确分割任意3D物体的AI模型。该系统采用原生3D处理方式,摆脱了传统方法对2D投影的依赖,在近370万个3D模型上训练而成。P3-SAM支持完全自动分割和交互式分割两种模式,在多个标准测试中达到领先性能,为游戏开发、工业设计等领域提供了强大的3D理解工具。
CrowdStrike在其年度Fal.Con 2025大会上发布了智能代理安全平台和智能代理安全团队两款新产品,旨在应对AI时代日益增长的安全需求。新平台基于企业图谱架构,统一企业遥测数据,配备AI优化查询语言。Charlotte AI AgentWorks提供无代码平台,让安全团队可轻松构建和部署可信安全代理。智能代理安全团队则通过AI驱动的代理直接服务客户,解决传统防御无法应对AI速度威胁的问题。
NVIDIA Research推出了革命性的UDR系统,让用户可以完全自定义AI研究助手的工作策略。该系统解决了传统研究工具固化、难以专业化定制的问题,支持任意语言模型,用户可用自然语言编写研究策略,系统自动转换为可执行代码。提供三种示例策略和直观界面,实现了AI工具的民主化定制,为专业研究和个人调研提供了前所未有的灵活性。