信息安全已經成為了IT的一個不可或缺的部分,以至于在越來越多的組織中,從組織的角度來看,這兩者實際上是無法區分的。
許多公司正試圖將IT安全策略與IT策略更緊密地集成在一起。這可能意味著需要混合部門、改變領導結構、并在開發流程中更早地嵌入安全性,以及其他策略。
根據2019年的CIO狀態調查,大約三分之二的組織表示,他們的IT安全戰略和IT戰略正緊密結合,IT安全是IT路線圖和項目的關鍵組成部分。
但是展望未來,這兩者變得更加難以區分了,83%的組織希望在未來三年內將IT安全策略緊密地集成到他們的總體IT策略當中。
安全咨詢公司MossAdams的網絡安全高級主管NathanWenzler表示:“我認為,我們將看到IT會與安全戰略交織在一起,但方式可能會與我們過去幾年所看到的有所不同。”
“信息安全通常被視為IT部門的一個子集,并且通常只是管理防火墻和垃圾郵件過濾器等安全工具的地方,現在將越來越多地看到信息安全團隊本來真正的面目:風險管理功能,”Wenzler說。
在風險管理和降低風險方面,IT和安全策略緊密地結合在了一起。一個常見的例子是應用程序的安全性。Wenzler說,現在的安全團隊更關心的是代碼是如何從開發人員的測試平臺安全地轉移到生產環境中的,并在此過程中進行了適當的測試和控制。
安全策略將確定代碼可能因人為錯誤或其它錯誤而受到損害或丟失完整性的區域,并為應該采取什么措施來減輕或消除這些風險提供建議,Wenzler說。
“然后,IT團隊將介入來確定哪些工具最適合放在現有的基礎設施上,并將與現有的開發工具和流程集成,以實現正確的技術來提供這些控制,”Wenzler說。“這是現代戰略最好的結合之處,而不需要安全團隊成為IT專家,或者反過來。”
下面是一些關于如何更緊密地將安全實踐集成到IT策略中的技巧。
授權給最高安全主管
將IT和安全緊密結合在一起不應意味著剝奪安全主管的權力;事實上,他們應該在戰略規劃上有更多的發言權。
Park Place Technologies是一家提供存儲、服務器和網絡硬件維護服務的提供商,在這里,IT戰略和IT安全戰略能夠緊密結合,網絡安全領導層也發揮著關鍵作用,其CIO Michael Cantor表示。
“我們的信息安全主管在所有戰略討論中都有一席之地,包括年度預算周期,”Cantor說。“他制定了一個五年的安全路線圖,其中為每個安全職能都設定了目標,以確保在今年取得預期的進展。”
例如,該主管的目標之一是提高圍繞漏洞掃描的內部能力,以便Park Place Technologies能夠以更低的成本實現更頻繁地掃描。特別是,這一目標已納入基礎設施功能的2019年目標。Cantor說,它也被轉化為了內部掃描技術的實現,以及一個專注于更頻繁地使用該技術進行掃描的項目。
Cantor說,安全功能需要處于組織的適當級別,如果不是CEO,也至少要向CIO報告。他表示:“獨立是必要的,要確保安全方面的聲音能夠被聽到,而不是被其它IT功能(如基礎設施)所壓制。”
從高級管理人員那里獲得集成支持
由于缺乏組織中高級人員的支持,有多少計劃偏離了軌道?IT和安全集成也可能面臨相同的命運。
全球家具設計和制造公司Haworth的隱私官Joe Cardamone表示:“你需要從董事會、C級管理層和領導團隊那里獲得認可?;ヂ摼W上存在著大量關于早期整合信息安全架構和戰略的好處的信息。”
Cardamone說,展示這些好處,獲得領導的認可和支持,有助于打破障礙。此外,如果高級管理人員了解安全性的價值,他們也可能更傾向于看到IT和安全性集成的價值。
Cardamone說:“你需要展示信息安全是如何使業務成為可能的,而不僅僅是工作流中的另一個障礙。”
如果IT和安全部門都能與高管直接通話,那就更好了。
網絡安全和合規性高級主管JamesMcGibney表示,在電氣承包商Rosendin Electric,這條路是必不可少的。“幸運的是,我們的網絡安全小組能夠在我們的IT組織內部,直接向我們的CIO和CEO報告,”他說。“他們和我們所有的高管都非常支持我們正在進行的IT和安全工作。”
McGibney說,這個報告過程幾乎是“完美無缺”的,“我們的高級管理人員完全理解保持強有力的安全態勢的重要性。如果我們迫切需要部署新的安全解決方案,他們總是會給我們提供堅定的支持。”
經常溝通并建立關系
IT人員和安全人員之間需要良好的溝通,這一點再怎么強調都不過分,這對實現有效的集成來說是至關重要的。
在Rosendin Electric,這兩門學科之間的交流是至關重要的。
“人的因素是當今IT組織所面臨的最大風險,”McGibney說。“成功的網絡釣魚活動很容易就讓公司陷入癱瘓狀態。要提供真正的深度防御,IT和安全需要共同工作,跨攻擊面的實施解決方案,無論是基于本地的解決方案還是基于云的解決方案。安全組實現的內容將影響基礎設施,而基礎設施實現的內容也會影響安全。它們需要攜手并進。”
Wenzler說,IT和安全團隊需要了解他們都想要完成什么,以及為什么它對組織來說是很重要的。“當雙方互不溝通時,風險策略便很容易與技術目標脫節,”他說。“雖然功能不同,但它們對彼此的成功是不可或缺的,因此如果沒有持續的溝通,它們將無法同步。”
因此,在這兩個學科之間建立更好的關系是很重要的。Cardamone說,信息安全人員有時會被視為項目的路障和工作流程的阻礙。
為了幫助構建橋梁,信息安全團隊需要強調團隊合作。
Cardamone說,在Haworth, IT工程師和信息安全團隊每月都會舉行一次會議,以討論即將到來的變化、項目、挑戰和其他對任何一方都有利的問題。他說:“最有效的做法是,讓領導團隊來支持這種類型的行為,并減少經常在IT中看到的孤立行為。”
利用安全標準并使用可比較的度量標準
希望集成IT和安全的公司應該考慮使用標準的安全框架,比如由國家標準和技術研究所(NIST)創建的框架,以便為安全環境設置目標。
“可以創建一個安全路線圖,有效地劃分優先級,并與所有功能共享,以設置年度目標,”Cantor說。
在公司內部使用標準化安全操作的框架,可以確保安全的所有方面都得到了標識,并且可以根據風險和成熟度目標對其進行優先級排序。一旦一家公司選擇了一個框架,并根據它們在特定情況下的適用程度來部署各種元素,“那么該公司基本上就有了一個安全策略,”Cantor說。
“安全可以在其自身功能范圍內實現特定目標的情況非常罕見。”Cantor說。“它通常需要結合其他功能來實現安全目標,因此這種與整體IT策略的集成是成功的關鍵。”
除了標準之外,IT和安全組織還應該致力于使用可比較的度量標準,這樣就不會混淆最終目標。很多時候,安全團隊開始會以與IT團隊或操作功能無關的方式來度量風險甚至成功,Wenzler說。
“同樣,正常運行時間測量或幫助臺響應可能會涉及到安全性的‘完整性和可用性’支柱,但卻不能正確地處理風險問題,”Wenzler說。“確保每個人都能夠理解正在使用的度量標準,并利用技術來改進揭示風險降低的度量標準。”
在公司產品中加入數據保護
有效的IT和安全集成應該擴展到公司提供給客戶和內部使用的所有產品和服務當中,而不管行業如何。
“在我們的IT產品中構建數據保護是至關重要的,”McGibney說。例如,當向員工發放公司的手機時,它會立即在統一的端點管理系統中注冊。如果員工攜帶自己的設備,他們也必須注冊,否則這些設備將無法訪問任何公司的資源。
“隨著網絡釣魚活動的日益猖獗,任何一家公司都會有這樣的風險:員工點擊了一個模糊的鏈接,輸入了他們的登錄憑證,剩下的便都如歷史所述了,”McGibney說。“黑客不僅能夠肆無忌憚地訪問您的Active Directory基礎設施;它們還可以訪問您的流程和過程。反過來,這通常也會導致更集中的網絡釣魚攻擊。”
物聯網還擴展了攻擊面。“任何觸及互聯網的東西都可能成為企業的一個潛在切入點,”McGibney說。“手機、平板電腦、筆記本電腦、臺式電腦、安全攝像頭、燈光控制、恒溫器、VR(虛擬現實)設備等。所有這些設備都需要采用某種補丁管理和漏洞管理流程。”
McGibney說,黑客可以說是世界上最聰明的人。“當他們下定決心,專注于滲透到你的環境中時,他們會使用任何必要的手段來實現他們的目標,”他說。“無論這是通過社會工程還是網絡釣魚活動發生的,公司都必須保持警惕并提高安全意識。”
京公網安備 11010502049343號