CGI集团高级安全顾问Terri Curran表示,针对第三方的风险管理指标(例如可访问公司信息的供应商数量)通常会让董事会“大开眼界”。
信息安全指标应该专注在三个方面:风险管理、合规性和创新性。但Curran表示,企业常犯的错误是在安全指标计划的开始试图做太多工作。
Curran已经在信息安全领域40年,曾在Gillette公司担任CISO达19年,Bose公司达7年。2007年至2014年,她曾任职于计算机安全行业(CSI)顾问委员会(在2011年,CSI被UBM收购)。TechTarget记者采访了Curran,一同探讨如何让指标服务于更广泛的受众。
让我们来谈谈指标,这是计算机安全领域最无聊的话题,排在配置管理后面。每次这个话题出现时,我经常会听到这样的对话:
“你应该保持指标。”
“我应该保持哪些指标?”
“这取决于你的企业。”
“没有‘前20名’指标列表吗?”
在理论和实际效用之间你如何做出关联?当有人询问前20名指标列表时,对此你如何回应?
Terri Curran:我喜欢谈论信息安全指标:我绝对相信围绕指标的讨论可以迸发出新的想法和创新。同时,我也认为指标很无聊,因为很多指标与现在的高管董事会无关。我曾参加董事会,只要CISO的指标图闪现在屏幕,大家就会开始翻白眼,并偷偷查看电子邮件。
不过不要误会我的意思:指标依旧很重要。但与安全本身一样,指标必须与时俱进。是否有前20名列表?当然有,可以针对任何企业。
从我的经验来看,最有用的指标通常是可量化花在事物上时间的指标。我不知道这是否是因为这种指标涉及某些业务流程分析,或者只是因为时间指标往往是对努力和花费的有用的衡量标准。你对此有何经验?
Curran:根据我多年有关指标的失败和成功的经验,我认为最有用的指标应该可以专注风险管理、合规性和创新性。在这些指标中,有些指标完全是以时间为基准,有些则不是(特别是在‘创新’类别)。我认为企业需要综合基于时间、基于结果和前瞻性指标来展示信息安全态势,以及避免在董事会让别人翻白眼。
在任何这三类指标中,旧的SMART(具体、可衡量、可操作、相关、及时)基准可非常有效地启动指标定义过程。除了这些特点,指标必须易于管理或追踪,它们需要是多用途和多层面的。
并且,应该由进行指标工作的人来报告指标信息。如果IT或数据中心人员在进行所有的恶意软件修复工作,则应该由他们报告这方面的信息,以表明其在安全项目中的作用。CISO不应该要求他们提供每月情况报告放入到她的报告中,而应让IT人员为其辛勤工作邀功,让CISO创造新的指标。在年底,IT领导者可提供年度总结,包含在CISO的年度安全报告中。其他业务部门可以通过其信息安全相关的指标做同样的事情,以说明其对信息安全计划提供的支持和努力。
当然,网络钓鱼和恶意软件尝试次数、部署的补丁数量等所有基于技术的指标都是很好的指标,但我认为风险指标应该涉及更广的范围。例如,好的风险管理指标可能是可访问企业信息的第三方数量、执行的第三方风险评估的数量以及妥善保护信息的第三方数量。很多公司仍然没有考虑将第三方风险评估作为指标产品组合的一部分,并且,可访问企业信息的供应商的数量似乎总是让高管惊讶。
另一个风险管理指标可能是为遵守法律、法规和规章(网络研讨会、倡议团队或法律文件的更新)采取的积极活动的数量。在这个领域中我最喜欢的指标是外联活动。如果你定期与本地执法以及安全官员接触,这将是很好的物理、安全、风险管理和创新指标。在这里我想说的是,指标可以是以人为中心的,而不是以技术为中心。
合规指标主要基于外部合同和监管合规要求,这非常简单。PCI DSS、NIST 800-53,很多要求都提供了很好的指标作为执行的一部分。衡量内部对信息政策的合规性更简单,因为我们有以技术为中心的数据丢失保护等监控技术。我很感兴趣的是追踪计划和进行中的外部审计的数量,以及支持它们所需要的时间和资源。这是很老的指标,但仍然很有效且有价值。
最近我最喜欢的是创新指标。物理和信息安全计划都需要发展,我们可以利用指标来生成和说明前瞻性活动和理念。
并非所有创新想法将成为现实,但这本身就是一个指标,不是吗?例如,安全团队每个月可以开展创新讨论,从专业和个人角度提出可行的想法。我曾看到在创新讨论中产生出很好的想法,从而带来更好的指标。下面是几个例子:企业可以开展“删除日”,员工可以带来文件进行安全处置,这可以构建良好的安全意识、对参与的员工数量以及删除的总数(良好的企业社会责任)产生指标;或者提供免费恶意软件的培训课程并跟踪员工参与情况。我听说有传言称,有的企业创建安全意识演示让员工带回家与他们的孩子分享。我也喜欢展示“讨论安全问题的业务部门会议数量”。对于创新指标,最好的事情是,如果在一个月产生10个创新想法,而只有三个变成现实,那又怎样?毕竟你仍然在展现创新性。
在我看来,很多企业正越来越多地受到恶意软件和基本网络钓鱼攻击。当我看到这种情况时,我的假设通常是,他们并没有真正了解这对他们的严重影响,因为他们需要指标。为了向高管解释恶意软件和最终用户计算做法对企业的影响,你会衡量哪些事情?
Curran:有些企业喜欢进行社会工程和网络钓鱼测试,这些都是衡量员工意识的很好指标,并且这也为培训计划带来很好的信息。我认为我们需要向管理层更好地展现其企业与同行业其他企业的比较。指标可以用来显示成熟度差距(或者良好的态势),我希望有外部月度报告或摘要可向高管展示(按照行业或子行业)在特定月份恶意软件和网络钓鱼攻击的报告数量,以及企业如何对这些报告作出响应。这将是巨大的胜利,如果你知道这样的资源,请让我知道!
我曾对风险管理不屑一顾,因为这通常是“无用输入+无用输出”。但当我开始深入研究指标时,我意识到你实际利用指标的唯一途径是开始衡量事物。你是从哪里开始的?如果你从头开始构建指标计划,第一步是什么?
Curran:我为指标发展制定了一个基本的工作表,这或许可以解释我确定“增值”指标的方法。这也可用作一种资源规划工具或者作为RACI(谁负责、谁批准、咨询谁和告诉谁)模式的输入信息。
指标本身需要可测量,或者定性或定量(百分比或其他数值)。这个工作表中最重要的部分是:什么问题得到回答?如果没有感兴趣的问题,那么,指标并不值得追踪。数据来源可以是使用的工具或者发出的调查;最后两列非常简单。
最先开始的是合规性要求,然后我会处理风险管理指标,最后是创新指标。这是可以逐渐构建的成熟度曲线。不要忘记对指标进行衡量:我们上个月创建并报告了五个新的指标。
人们在开始指标计划时犯的最大错误是什么,以及应该如何避免呢?
Curran:这个我有些惭愧,因为我对信息指标探索深了,并且试图寻找完整的产品组合,尝试一次添加太多条目。我了解到,最好的指标应该可以向企业以及外部监管者和审计员展现信息安全计划的价值。在开始之前就试图完成太多指标本身就是失败的。
我们谈到了前20名,我想要问你:你目前最喜欢什么?
Curran:我先谈谈每个类别中的五个指标如何?其中有些我们已经谈到了,如果我要保护我公司的信息和物理资产,我会考虑以下指标:
风险管理指标
1. 执行的第三方风险评估
2. 内部和外部审计结果数量(当前状态、在过程中、完成等)
3. 高级别数据泄露防御统计(这也可被认为是合规指标)
4. 基于分析师、供应商报告与同类行业的基准
5. 可访问受限制、机密或管制信息的供应商数量(以及趋势)
合规指标
1. 部署的修复程序以及所有常见的IT相关话题
2. 请求和授予的政策特例
3. 合规活动安排(可能增加)
4. 为安全或隐私顾虑审查的合同数量(也可被视为风险管理)
5. 为应对不断变化进行的法规或合同研究时间
创新指标
1. 产生的新想法(简短的解释)
2. 为发展批准的想法
3. 开展外联会议(业务部门)
4. 开展外联会议(外部机构、监管部门、利益团体;也可列为风险管理类别)
5. 个人和职业发展拓展(认证指导、新的认证)
我经常听到计算机安全人员称安全人员不知道如何与高管或业务部门交谈,你怎么看?
Curran:这是很好的问题。我的第一反应是:不要说话,而是倾听。我知道,这听起来很明显,但我们通常都没有认真听业务部门同事的意见。
对于这个问题,安全人员应该少谈技术,更多地谈论以人为中心的风险管理。请记住,人们想要其企业获得成功和确保安全,并且他们希望感觉他们是这一工作的一部分。安全部门应该引出他们的保护本能,而不是危言耸听。通过展示对业务过程如何与安全整合的真诚的兴趣,来提高他们的信心。这些都是让谈话继续下去以及建立他们信任的很好的方法。