近期,董事會應該聘用更年輕的總監來處理網絡安全“問題”的呼聲漸起。與此同時,歐盟在上周也揭開了之前提出的《網絡與信息安全指令》(NISD)的面紗。
大家對安全的期待越來越高,建立起許多框架、頒布了大大小小的立法和規章制度,但有什么證據可以顯示這些東西起到了相應的作用呢?
在汽車制造業,隨著安全措施的引入,路上死亡人數逐年下降。然而,隨著緩解已知威脅的控制措施的不斷引入,我們卻沒看到相應的網絡攻擊、數據泄露的減少。
用醫學類比來為這篇文章打個基調吧。
在醫療界,“實習醫生”普遍存在著一個困境。他們在應對病人的知識和經驗上都還很初級,得不到患者的信任,因而很難在缺乏經驗的病癥上增長治療經驗。
我們再來看看安全。
理論上而言,難道我們想要那些在董事會會議室做出重要決定的人,是一些不具備深度信息安全相關知識和豐富經驗的人嗎?如果是這樣,他們又如何能擔負起解決公司核心風險管理挑戰的重任?
以下十二步可以幫助“實習醫生”更好的給出更適合的“治療方案”:
1. 承認無能為力
犯罪分子資金更雄厚,研究力度更深,資源更豐富。
2. 找到希望
這種情況下,公司安全負責人應被適當授權以恢復理智和減少無力感。
3. 著手改變
真正著手去做一些改變,不要持續抱怨或恐懼,這種態度不具備任何建設性。
4. 盤點
對企業的資產來一場徹底而大膽的盤存吧。
5. 公開資產清單
坦承自己錯誤的。例如,相信增加更多技術可以解決現有技術引發的問題,或者沒及時為已知漏洞打上補丁。
6. 大掃除
讓首席信息安全官清除掉我們基礎設施和組織行為中的所有缺陷,從并購收購,到購買和人員管理環節。
7. 向CISO請教
請求CISO的幫助,以企業清除系統弱點。那些具體的執行選項都在CISO腦子里。
8. 創建ISMS
信息安全管理系統(ISMS)將有效包含為達到需要的公司信息防護水平而必須去做的“待辦事項列表”。在12步計劃里,這一階段就是列出需要做改進的人員名單。這需要一些花費一些思量,可以或應該包含內部審計。
9. 反醒
多年以來,內部審計一直在發現問題并引起董事層注意,但均被置之不理,到了該道歉反醒的時候了。
10. 還是清點資產
復核,復核,復核。重要的事說三遍。當你新發布一個公司通訊錄的時候,總有人指出你漏掉的人。包括已經離職的人,剛加入的人,或者崗位變動的人。安全態勢總是在變,更何況還有所謂的“影子IT”。
總有些眾所周知的事情是需要持續并快速解決的。這包括信息安全持續性監測計劃(ISCM)。我們在資產清單里發現的多種系統會源源不斷地生產出各種日志。這些全都需要審查,而且,要將我們常聽到的“可行情報”應用到它們身上。
11. 沉思
深度思考對改善我們的清醒認知、我們對風險態勢的認知和改進我們付諸實踐的技能起著至關重要的作用。
12. 幫助他人
要與他人分享學習經驗,要與企業的供應商、提供商、廠商、家人、朋友和更廣闊的社交圈子一起分享。它將改善并提高所有資產設備的互聯性。
不要再為自己沒遵醫囑采取預防措施而患病之后去責怪醫生,多想想怎么解決很多已知風險吧。有很多已知框架可以幫我們改善網絡安全狀況,忽略它們,后果只能你自己承擔。
京公網安備 11010502049343號