前段时间,谷歌人工智能AlphaGo与韩国棋手李世石人机大战的消息席卷全球,有专家认为,到了本世纪末,我们所熟悉的职业中,百分之七十可能被自动化技术取代。但CISO这个角色似乎并不包括在其中,这些全新的业务模式和全新的技术为企业安全管理带来了更多的挑战,而CISO的职责正是保障这些业务的安全性。当然,这个任务似乎越来越难以完成。
别担心,或许我们可以从一些在企业安全有着丰富实践中,获得一些经验,凭借这些实践经验,最忙的CISO也可以睡上一个安稳的觉。在IBM举办的企业风险管理实践大讲堂中,笔者便找到了一些实践经验,与君共享。
一、建立具有风险意识的文化与管理体系
首先作为CISO应该从一个以战略和企业视野为驱动的领导角度,将安全任务从购买IT产品拓展到跨越整个企业的IT风险管理,并设计一个结构化的治理模型,可以确保积极主动的风险识别与管理。通过交流与沟通以提升对潜在风险的意识。此外,还需建立一个以策略、衡量标准和合理工具为支撑的管理系统。
具体而言,需要构建风险意识管理系统包括建立风险管理程序来识别和优先排序业务威胁和风险; 定义治理方法来驱动决定责任和义务;建立一项风险意识战略和企业架构;为所需的技能与能力平衡人力资源。
同时,用沟通来驱动风险意识文化包括理解并检验当前企业程序的有效性; 与员工、客户与供应商展望新的风险意识文化;定义风险意识文化程序(与业务拥有者和流程拥有者一起);建立一个培训与意识程序。
此外,可测量和成熟的管理系统也是必不可少,建立测量程序 (企业文化,流程与技术);收集数据和部署风险报告工具以方便测量,风险管理,沟通和及时的决策。并创建一个安全意识计划,用来考量由企业风险管理计划和当前事件驱动的安全意识培训。
二、建立智能的安全运维和快速威胁响应
你是否想过,当有两个类似的安全事件发生,一个发生在中国 另一个发生在美国,它们有可能是关联的,但是如果没有智能分析帮助关联起它们,这么重要的一个模式可能不会被关注到。
作为CISO可以建立一支熟练的事件管理团队,具备足够的资源来应对取证要求,并开发一套统一的事件处理策略和流程,同时利用一致的工具和安全智能进行事件管理和调查取证。当然,开发安全信息事件管理能力来捕捉和跟踪所有安全事件也是必不可少的。
三、社区网络和移动办公的安全协作
在全民皆移动的BYOD时代,企业移动也面临着诸多安全挑战,CISO也忙于将个人隐私和企业数据的安全隔离,实现身份管理、访问控制和授权,从而提供企业应用和数据的安全访问连接。对于开发的移动应用也要进行必要的漏洞测试,保证应用的安全。
需要注意的是,企业需避免员工在未经许可和无安全控制的情况下使用个人设备,需要支持各种私人和企业拥有设备且同时保持企业安全策略的完整性。
此外,针对智能终端,要专注终端风险,提供用户所需的灵活性,创新性。对所有的设备进行注册,实现终端的可视性,并能集中强制实施安全策略;实施安全工具诸如防火墙、防病毒、入侵防护来阻止通过终端漏洞的恶意攻击;考虑数据分离和加密技术来防止数据丢失。
四、设计开发“安全”的产品
不可否认,你的Web网站就是你业务的窗口。、,如果窗户上有洞,虫子就会进来,如果玻璃上有裂纹,那热量就会释放!在Web应用程序中的安全漏洞可以破坏组织的品牌和声誉。应用事故的根本原因可能存在于整个软件开发生命周期内的任何阶段。因此,产品开发团队需要积极应对在开发生命周期中安全漏洞所导致的,无处不在的风险和威胁。
IBM专家建议CISO可以采用严格的方法在整个软件生命周期内进行安全检查与跟踪,并利用先进的分析技术来发现安全漏洞和弱点。
五、自动化IT安全运维管理
之所以人们坚持用旧的软件程序,是因为他们熟悉它们,并且用的顺手,但是要持续管理一系列软件的更新几乎是不可能的。如果有一个清洁的、安全的系统,管理员可以跟踪每个程序的运行并确信它是最新的,并且有一个全面的系统能为为其它系统安装的更新和补丁。当然,这个清洁的过程也应该是常规的和嵌入系统管理中的。
企业CISO可以把全部的基础设施登记到一个集中目录中并且积极退休的传统组件;数据合规的端到端可见性;自动化的补丁管理,帮助确保基础架构可以抵御当前的威胁;识别机会外包常规监测功能。
六、确保一个安全易恢复的网络
想象一下,一家企业的IT基础设施就像一个巨型酒店有着超过65,000扇门和窗户,当公众被允许进入大堂之后,客房的访问由登记和客户钥匙来控制。而网络安全工具,正是为组织提供了一种方法来控制进入含有机密数据和关键系统存储的“房间”。
CISO需要注意的是,在有效的网络风险管理同时,需要利用安全智能的强大工具和流程,从而控制网络访问并保证弹性。 1、使用最新的技术来监控和防护威胁 2、收集安全信息来获得整个网络的全局视野。通过安全智能关联和交叉引,收集已发生的网络安全事件,评估网络安全成熟度,查看内部和外部的度量与分析来驱动主动威胁缓解。 3、优先排序你所需要或者不需要的控制措施。从平常的监控活动中识别机会到任务,使用分析工具,持续的评估威胁状况,尤其是您的业务。引入外部威胁分析来补充您有的分析能力。
七、处理云和虚拟化带来的新安全要求
时至今日,云计算已经到了高度普及的时代,但它可能会带来一些风险。如果一个企业迁移到云计算的IT服务,这将在近距离接触许多其他事物,当然也可能包括欺诈分子,要在云这样的环境中茁壮成长,CISO必须得有工具和程序把自己与别人隔离开来以及/或者随时监测可能的威胁。
应该从何处开始开发一个有效的云安全战略呢?IBM专家建议,首先要理解安全需求,是否采用基于云的还是传统IT基础架构。然后开发一个云安全路线图,以识别云相关的安全风险和缓解措施。开发针对云提供商的安全需求,包括合同义务的遵守和报告。在云服务提供商所提供的安全基础之上实施分层安全控制。与此同时,从内部和外部系统收集安全数据,进行分析和识别安全威胁和趋势。
八、管理第三方安全合规
相信很多人都需要遇到这样的情况,一个外包员工临时需要访问系统,你该如何确保他有访问密码?是把密码写在记事本上?还是邮件发给他?要知道,这类即兴行为是有风险的。安全的企业文化必须超越公司的边界,并建立承包商和供应商之间最佳实践这类似以前对承包商和供应商之间最佳实践。这类似以前对于质量控制的流程驱动。 逻辑上是类似的:安全,就像质量管理,应该被注入到整个生态系统。由于粗心导致的灾难性后果可能会震撼到整个行业。
CISO所要做的是,将安全作为企业并购整合的一部分;评估供应商的安全和风险的政策和做法,教育他们合规;评估行业数据保护要求和规定与流程的一致性,诸如:PCI, GLBA, HIPAA, SOX, NERC- CIP;管理供应商风险生命周期。
除此之外,还必须有能力管理延伸的企业风险,因为第三方业务合作伙伴,在提供商业价值的同时也代表了一个隐藏的合规风险。在评估潜在的第三方供应商时,是否具备平衡风险、奖励和成本的专业知识,以及适当的行业标准知识,诸如:ISO27002, SSAE 16和SIG AUP。并掌握用于促进供应商风险管理和与企业利益相关者沟通的风险和治理工具。
九、更好的数据安全与隐私保护
数据安全与隐私保护是CISO工作的重中之重,应该遵循什么样的路径来保护数据呢?IBM专家建议到,首先,评估差距制定数据保护战略。了解敏感或者机密数据是如何存放和在业务流程中使用的,然后定义一项战略,在数据生命周期的各个阶段保护数据,并验证第三方策略和实践的合规性。其次,设计一个强健的数据管理架构。在整个企业范围内建立数据分级和相应的安全基线与保护级别,实施一系列通用和标准化的安全度量,并将数据保护对准业务目标,以创建文化意识与员工责任。再次,部署先进的数据保护技术。实施先进的工具来测试实施实践,并提供终端,网络和数据库无缝整合的全覆盖。此外,在保证合规的同时,对业务生产影响最小化。
十、管理数字身份生命周期
最后还有一个容易忽略的地方,假设有一个合同工获得了全职雇佣,6 个月后,他获得了提升,但一年后竞争对手把他挖过去了,那系统该如何对待这个人呢?首先,系统必须给他有限的访问数据的权限,然后根据他的情况打开更多的窗口,最后及时的把他的权限完全消除。这其实是一个管理身份生命周期的问题。这是至关重要的,公司对于账号管理不善,在黑暗中操作,极有可能会受到攻击。
这看似很简单,但也需要CISO 利用业务驱动控制来开发优化的身份和访问管理策略,要贯穿整个身份和访问生命周期的,标准化的、基于策略的控制机制和智能监控技术确保成功追踪和报告合规。
这十项安全实践经验在构建企业安全平台方面已经很全面了,掌握了这些,相信作为CISO会从紧张“救火员”转变为高枕无忧的新一代安全领导者。当然,如果有更好的实践经验,也欢迎和我们分享。