【51CTO.com现场报道】2016年8月5日,以“安全可控·御未来”为主题的2016年首届C3安全峰会暨中国云安全峰会在成都世纪城会展中心盛大开幕。中央情报局前首席技术官Bob Flores先生出席主论坛并进行了演讲。
Bob的演讲主题”企业管理层应该关注的9个安全关键问题“,以下是51CTO记者美洁现场进行的快速整理笔记。
关键问题一:我们的业务、品牌和盈利面临哪些网络威胁?
网络风险是否已经纳入我们当前的风险管理框架?
这种风险得到了老板们的认可。他们会不会问:“这不是CSO要考虑的吗?我们要考虑商业的问题。“
我们采用什么样的框架?是COBIT5、ISO27001还是NIST?
安全框架应该和商业框架一致。
关键问题二:我们是否拥有网络风险保险?
不知道中国怎么样,但美国已经非常重视对网络风险进行保险。、
我们必须知道哪些方面已经纳入、或者不能纳入网络风险保险的范围。
我们要问自己:什么是我们最重要的资产?这一点是否已经体现在我们的网络风险计划中。————我问过很多人,50个人往往有50个答案。换言之,他们对网络风险了解的程度是远远不够的。
关键问题三:我们是否了解供应商和服务提供商带来的风险?
你是否了解合作伙伴的安全控制有多严格?他们是从何处链接我们的网络的?他们是否有权存取我们的数据?如果他们出现了安全违规,我们是否能收到通知?我们的合同中对此是否有规定?
前不久,我们队一个全球金融组织的安全情况进行了实际评估。他们使用第三方公司外包一些业务——他们雇用的都是全球顶尖企业,这个第三方公司处在另外一个国家,他们把数据访问权交给了这个第三方公司。事的检测发现,这个第三方公司并没有做出任何恶意行为,但这个国家的其他组织通过一些手段拿到了这些数据。
关键问题四:如何应对安全违规?
如果你是一个企业管理者,你是否反思过,一旦出现安全问题,我们是否有事件响应(IR)小组?谁应该是小组成员?每个人的职责是什么?
此外,如果出现了安全事件,我们应该在何时、用什么样的方式告知执法单位,还有外部供应商、客户,当然还有媒体界。
在回答这些问题的时候,不同类型的机构和组织可能答案不同。但无论什么单位,都应该提前准备好这些策略和行动计划,这样一旦发生问题,就可以有序地应对。
此外,我们应该多久演练一次计划?如果只是计划却不进行演练,那完全无法达到效果。我的建议是,至少每年都要进行一场演练。一年超过2次其实没有必要。
关键问题五:我们是否了解网络风险管理和合规性之间的差异?
很多机构和组织都有合规性的要求。他们有内部或者外部的团队来评估他们的合规性————他们一般称为审计员。
但是,如果审计人员认为我们合格,我们就真的合格了吗?这是否意味着我们已经安全了?当然不是,合规和安全完全是两回事。
关键问题六:员工是否了解了他们在网络风险管理中的作用?
员工是否定期接受了网络风险培训?他们是否知道什么是网络钓鱼?遇到安全问题时,员工是否知道该通知谁?平均来说,11%的员工在收到网络钓鱼电子邮件时会中招。
那么,我们有没有什么方式或者软件来帮助员工呢?无论是CIO/CSO还是其他管理者,我们都应该及时通过网络风险演练中对员工进行评估。
关键问题七:我们有内部威胁防护计划吗?
我们内部对员工的授权体系建立了吗?哪些用户能接触到核心数据?这些用户是否已经被区别对待——其实目前已经有不少这样的产品可以帮助企业做到这一点。
我们是否知道员工在网络上做了些什么?如果他们犯错了,我们是否能知道?这些只有通过及时的监督才能实现。
关键问题八:我们是否共享有关漏洞、威胁和事件的信息?
我们是否有分享信息的机制,包括合作伙伴、客户,甚至我们的竞争对手?
在美国有一个体系,是政府和企业全方面的信息共享。这件事情无疑是值得提倡的。
关键问题九:我们是否倡导安全文化?
我们必须倡导,让每位员工都了解自己在公司的安全职责。不仅仅是CIO/CSO,每位员工都应该了解公司最贵重的资产是哪些。
我们要问自己,是否有持续的网络风险培训计划?每年培训一次应该是起码的要求——不一定就是要把大家都叫在一起,通过网络培训也往往可以达到目的。
总结起来,Bob特别强调了如下五个问题:
1,网络风险是一个业务问题,任何组织的最高层都应该讨论并设法解决。
2,合规或者合乎框架十分重要,但由于网络安全威胁的快速发展,这并不能环节所有风险。
3,针对组织的攻击,其规模、范围和严重程度很可能在不久的将来升级。
4,内部威胁无论是恶意的还是无意的,都可能给组织带来最大成都的损失。
5,要提升应对网络威胁的能力,企业应该更加重视检测、补救和恢复,而不仅仅是阻止。
51CTO是本次2016年首届C3安全峰会暨中国云安全峰会的独家直播媒体。更多相关信息,请参见直播专题http://netsecurity.51cto.com/act/C3/201607。
