白宫是美国政府最高水平的行政部门,人们会发现这里有两种截然不同的人群。一种是负责定义未来愿景的得到政治任命的官员,直接指挥下属从事政治使命。而另一种是公务员,受政治风向的影响,无论哪个政党执政,都必须执行命令。这是每个在任总统面临的一个问题,也是一个呈现在快速变化的IT世界中独特的挑战。
“如果你仔细想想,白宫就像是一个新的初创公司,每四年或八年更换一次CEO。”白宫前副首席信息官阿利萨•约翰逊说。而年复一年,从上至下任命的官员都有着变动和升迁,但无论是谁在负责,仍有300多名IT专业人士为总统行政办公室服务。前政治任命首席信息官,CISO医疗技术公司现任首席信息安全官史赛克回忆说,奥巴马政府在2009年接手时,就有一些战略问题需要解决。
“我们当时配备的还是有着软盘驱动器的台式机。”约翰逊说。她的主要职责是保障白宫信息安全,主要目标之一并为未来的行政部门制定信息安全计划。
因为大多数安全漏洞都是人为错误或缺乏适当的维护造成的,必须具备先进的技术与理念,才能成功保障信息安全。重要的是,约翰逊提醒道,作为一项长期计划的一部分,技术人员需重新审视基础架构,然后积极贯彻落实。
核心原则
确保数据安全的首要关键是完善的信息安全战略,而不是遍历数据中心基础设施。“数据的重要性超过了基础设施建设。”约翰逊表示。
“我不会告诉你会有什么惊天动地或新的技术和策略。学习就是记住你已经知道的东西,把它们以不同的方式结合在一起。”约翰逊说,就因为她在白宫工作过,这并不意味着她就能给出圣人一般的建议。“记住,我们仍在试图取消软盘驱动器。”她开玩笑地说。
虽然下面的原则列表并不详尽,前白宫副首席信息官表示,用户信息安全有哪些缺失和漏洞基本从这些原则中就可以找出来:
(1)脆弱性和威胁管理
(2)身份和访问管理
(3)事件与危机管理
(4)配置和变更管理
(5)事件和数据管理
(6)用户管理
(7)风险与合规(这是他们的核心原则)
约翰逊观察到,有漏洞的网站的比例是惊人的,因此要在数据备份方面投更多的预算。而定量措施是而且将永远是要满足这一目标。
约翰逊表示,身份认证和访问管理是许多方法失败的一个领域。在她看来,没有理由要采取每月、每周,甚至每天去提供用户凭据,一旦一个人离开一个组织,“在科技时代,当有人离开单位时,你不能只是关闭他们的帐户,有时要严格到甚至清除他的一切痕迹。”她说。“而只关闭帐户在某些时候是一种懒惰的感觉。”
“当有事情发生时,网络安全是最重要的。”约翰逊解释说,解决事件最重要的一点就是组织根据原则对事件和危机进行管理,这是她的意见。根据她的经验,在通常的情况下,当高层的电话泄密或以前不关心的漏洞导致事件发生时,人们才会在网络安全功能方面进行投资。
约翰逊说,即使已经离开白宫,她还是接到了前雇主的电话,讨论近期关于如何对网络安全事件作出正确回应。她表示,这不仅是一次性事件的响应,而应该是进一步的成长与教育“终身的机会”。
如今,网络安全一定是企业业务环境的推动者,根据她以前的说法,这是一个成长的机会。“如果网络安全失败,那么其他一切都会有可能出问题,”她说,“如果网络安全没有正确处理,那么业务指标、销售和机遇这些方面都有可能出问题。”
整体缺乏网络安全防范是约翰逊主要关注的一个问题,特别是在眼下的物联网时代,她解释说,我们现在生活在一个信息孤岛,没有进入到一个真正的物联网的世界:“如果我们不能获知和处理现在的安全危机,那么在发生危机时,我们所有的信息已经都在那里,那时已进入一个融合状态。”她总结说,人们不仅考虑到现在所面对的情况,而且要考虑到做出的决定将如何影响其未来,因此要衡量风险和安全。
管理变革
绝大多数的安全漏洞并不是那些老练的黑客利用漏洞攻击的结果。大多数漏洞可以通过适当维护和配置系统有效地弥补。约翰逊引用的数据表明42%的漏洞是由于系统错误配置造成的。
这些错误配置的系统几乎在所有组织中普遍存在。“我曾工作在国家安全局,联邦调查局,中央情报局,国防情报局,洛克希德-马丁公司,诺瑟普-格鲁门公司,甚至白宫,他们在配置管理并没有采取很好的做法。”约翰逊说,白宫需要招募一个变更管理联络负责人,以协调网络上发生的所有变化。
但是,管理配置的变化并不是安全计划所需的唯一类型。如何与IT安全部门交互,转变业务视图将是至关重要的,并将推动安全领域业务的发展。
采用新产品或更新产品,必须经过网络安全评估,这个过程是非常必要的,企业可以与客户交流并对他们产生潜在的影响,约翰逊说。“网络安全一直被视为可怕的群体。”她感叹道。她希望人们从“没有,但”转为“是的,和”的态度,从而让安全文化更加具有前瞻性。
这是人们对于安全和风险的认识。对于管理一个企业,安全计划的过渡意味他们会评估其他业务的风险,以确定是否愿意接受他们,或减轻它们。
填补漏洞
有许多问题需要解决的时候,就需要制定一个全面的信息安全计划。但企业如何制定简化策略?在约翰逊看来,可以采用三种方法,大多数公司会在任何时间使用这三种方法的组合。所谓的“信息安全”的三个阶段是:激活(建立安全);适应(内置安全);预期(超越安全)。
“我认为所有的组织经历了所有这三个阶段”,据约翰逊观察。组织采用静态的防御姿态只是反应事件,而动态的预测安全,可防止事故发生或实时检测到危险靠近。
“这就像填补漏洞一样,”约翰逊说,“人们总是在填补漏洞,除非有一个很好的改变改变未来的策略。如果只是填补漏洞,那就永远是被动而不是主动。我不是漏洞填充物。”约翰逊总结道。