前段時間，谷歌人工智能AlphaGo與韓國棋手李世石人機大戰的消息席卷全球，有專家認為，到了本世紀末，我們所熟悉的職業中，百分之七十可能被自動化技術取代。但CISO這個角色似乎并不包括在其中，這些全新的業務模式和全新的技術為企業安全管理帶來了更多的挑戰，而CISO的職責正是保障這些業務的安全性。當然，這個任務似乎越來越難以完成。

別擔心，或許我們可以從一些在企業安全有著豐富實踐中，獲得一些經驗，憑借這些實踐經驗，最忙的CISO也可以睡上一個安穩的覺。在IBM舉辦的企業風險管理實踐大講堂中，筆者便找到了一些實踐經驗，與君共享。

一、建立具有風險意識的文化與管理體系

首先作為CISO應該從一個以戰略和企業視野為驅動的領導角度，將安全任務從購買IT產品拓展到跨越整個企業的IT風險管理，并設計一個結構化的治理模型，可以確保積極主動的風險識別與管理。通過交流與溝通以提升對潛在風險的意識。此外，還需建立一個以策略、衡量標準和合理工具為支撐的管理系統。

具體而言，需要構建風險意識管理系統包括建立風險管理程序來識別和優先排序業務威脅和風險; 定義治理方法來驅動決定責任和義務;建立一項風險意識戰略和企業架構;為所需的技能與能力平衡人力資源。

同時，用溝通來驅動風險意識文化包括理解并檢驗當前企業程序的有效性; 與員工、客戶與供應商展望新的風險意識文化;定義風險意識文化程序(與業務擁有者和流程擁有者一起);建立一個培訓與意識程序。

此外，可測量和成熟的管理系統也是必不可少，建立測量程序 (企業文化，流程與技術);收集數據和部署風險報告工具以方便測量，風險管理，溝通和及時的決策。并創建一個安全意識計劃，用來考量由企業風險管理計劃和當前事件驅動的安全意識培訓。

二、建立智能的安全運維和快速威脅響應

你是否想過，當有兩個類似的安全事件發生，一個發生在中國 另一個發生在美國，它們有可能是關聯的，但是如果沒有智能分析幫助關聯起它們，這么重要的一個模式可能不會被關注到。

作為CISO可以建立一支熟練的事件管理團隊，具備足夠的資源來應對取證要求，并開發一套統一的事件處理策略和流程，同時利用一致的工具和安全智能進行事件管理和調查取證。當然，開發安全信息事件管理能力來捕捉和跟蹤所有安全事件也是必不可少的。

三、社區網絡和移動辦公的安全協作

在全民皆移動的BYOD時代，企業移動也面臨著諸多安全挑戰，CISO也忙于將個人隱私和企業數據的安全隔離，實現身份管理、訪問控制和授權，從而提供企業應用和數據的安全訪問連接。對于開發的移動應用也要進行必要的漏洞測試，保證應用的安全。

需要注意的是，企業需避免員工在未經許可和無安全控制的情況下使用個人設備，需要支持各種私人和企業擁有設備且同時保持企業安全策略的完整性。

此外，針對智能終端，要專注終端風險，提供用戶所需的靈活性，創新性。對所有的設備進行注冊，實現終端的可視性，并能集中強制實施安全策略;實施安全工具諸如防火墻、防病毒、入侵防護來阻止通過終端漏洞的惡意攻擊;考慮數據分離和加密技術來防止數據丟失。

四、設計開發“安全”的產品

不可否認，你的Web網站就是你業務的窗口。、，如果窗戶上有洞，蟲子就會進來，如果玻璃上有裂紋，那熱量就會釋放!在Web應用程序中的安全漏洞可以破壞組織的品牌和聲譽。應用事故的根本原因可能存在于整個軟件開發生命周期內的任何階段。因此，產品開發團隊需要積極應對在開發生命周期中安全漏洞所導致的，無處不在的風險和威脅。

IBM專家建議CISO可以采用嚴格的方法在整個軟件生命周期內進行安全檢查與跟蹤，并利用先進的分析技術來發現安全漏洞和弱點。

五、自動化IT安全運維管理

之所以人們堅持用舊的軟件程序，是因為他們熟悉它們，并且用的順手，但是要持續管理一系列軟件的更新幾乎是不可能的。如果有一個清潔的、安全的系統，管理員可以跟蹤每個程序的運行并確信它是最新的，并且有一個全面的系統能為為其它系統安裝的更新和補丁。當然，這個清潔的過程也應該是常規的和嵌入系統管理中的。

企業CISO可以把全部的基礎設施登記到一個集中目錄中并且積極退休的傳統組件;數據合規的端到端可見性;自動化的補丁管理，幫助確保基礎架構可以抵御當前的威脅;識別機會外包常規監測功能。

六、確保一個安全易恢復的網絡

想象一下，一家企業的IT基礎設施就像一個巨型酒店有著超過65,000扇門和窗戶，當公眾被允許進入大堂之后，客房的訪問由登記和客戶鑰匙來控制。而網絡安全工具，正是為組織提供了一種方法來控制進入含有機密數據和關鍵系統存儲的“房間”。

CISO需要注意的是，在有效的網絡風險管理同時，需要利用安全智能的強大工具和流程，從而控制網絡訪問并保證彈性。 1、使用最新的技術來監控和防護威脅 2、收集安全信息來獲得整個網絡的全局視野。通過安全智能關聯和交叉引，收集已發生的網絡安全事件，評估網絡安全成熟度，查看內部和外部的度量與分析來驅動主動威脅緩解。 3、優先排序你所需要或者不需要的控制措施。從平常的監控活動中識別機會到任務，使用分析工具，持續的評估威脅狀況，尤其是您的業務。引入外部威脅分析來補充您有的分析能力。

七、處理云和虛擬化帶來的新安全要求

時至今日，云計算已經到了高度普及的時代，但它可能會帶來一些風險。如果一個企業遷移到云計算的IT服務，這將在近距離接觸許多其他事物，當然也可能包括欺詐分子，要在云這樣的環境中茁壯成長，CISO必須得有工具和程序把自己與別人隔離開來以及/或者隨時監測可能的威脅。

應該從何處開始開發一個有效的云安全戰略呢?IBM專家建議，首先要理解安全需求，是否采用基于云的還是傳統IT基礎架構。然后開發一個云安全路線圖，以識別云相關的安全風險和緩解措施。開發針對云提供商的安全需求，包括合同義務的遵守和報告。在云服務提供商所提供的安全基礎之上實施分層安全控制。與此同時，從內部和外部系統收集安全數據，進行分析和識別安全威脅和趨勢。

八、管理第三方安全合規

相信很多人都需要遇到這樣的情況，一個外包員工臨時需要訪問系統，你該如何確保他有訪問密碼?是把密碼寫在記事本上?還是郵件發給他?要知道，這類即興行為是有風險的。安全的企業文化必須超越公司的邊界，并建立承包商和供應商之間最佳實踐這類似以前對承包商和供應商之間最佳實踐。這類似以前對于質量控制的流程驅動。 邏輯上是類似的：安全，就像質量管理，應該被注入到整個生態系統。由于粗心導致的災難性后果可能會震撼到整個行業。

CISO所要做的是，將安全作為企業并購整合的一部分;評估供應商的安全和風險的政策和做法，教育他們合規;評估行業數據保護要求和規定與流程的一致性，諸如：PCI, GLBA, HIPAA, SOX, NERC- CIP;管理供應商風險生命周期。

除此之外，還必須有能力管理延伸的企業風險，因為第三方業務合作伙伴，在提供商業價值的同時也代表了一個隱藏的合規風險。在評估潛在的第三方供應商時，是否具備平衡風險、獎勵和成本的專業知識，以及適當的行業標準知識，諸如：ISO27002, SSAE 16和SIG AUP。并掌握用于促進供應商風險管理和與企業利益相關者溝通的風險和治理工具。

九、更好的數據安全與隱私保護

數據安全與隱私保護是CISO工作的重中之重，應該遵循什么樣的路徑來保護數據呢?IBM專家建議到，首先，評估差距制定數據保護戰略。了解敏感或者機密數據是如何存放和在業務流程中使用的，然后定義一項戰略，在數據生命周期的各個階段保護數據，并驗證第三方策略和實踐的合規性。其次，設計一個強健的數據管理架構。在整個企業范圍內建立數據分級和相應的安全基線與保護級別，實施一系列通用和標準化的安全度量，并將數據保護對準業務目標，以創建文化意識與員工責任。再次，部署先進的數據保護技術。實施先進的工具來測試實施實踐，并提供終端，網絡和數據庫無縫整合的全覆蓋。此外，在保證合規的同時，對業務生產影響最小化。

十、管理數字身份生命周期

最后還有一個容易忽略的地方，假設有一個合同工獲得了全職雇傭，6 個月后，他獲得了提升，但一年后競爭對手把他挖過去了，那系統該如何對待這個人呢?首先，系統必須給他有限的訪問數據的權限，然后根據他的情況打開更多的窗口，最后及時的把他的權限完全消除。這其實是一個管理身份生命周期的問題。這是至關重要的，公司對于賬號管理不善，在黑暗中操作，極有可能會受到攻擊。

這看似很簡單，但也需要CISO 利用業務驅動控制來開發優化的身份和訪問管理策略，要貫穿整個身份和訪問生命周期的，標準化的、基于策略的控制機制和智能監控技術確保成功追蹤和報告合規。

這十項安全實踐經驗在構建企業安全平臺方面已經很全面了，掌握了這些，相信作為CISO會從緊張“救火員”轉變為高枕無憂的新一代安全領導者。當然，如果有更好的實踐經驗，也歡迎和我們分享。