安全性一直是大家的当务之急,社会改革自身的机构以避免混乱和遗忘的例子数不胜数。在罗马帝国大约五个世纪之前的罗马王国,当地的皇家执政官(“调查员”)的任务是调查谋杀案。几乎在同一时期,晋国的县令负责巡视土地和刑事调查。还有近代的,1829年的“大都市警察法案(Metropolitan Police Act)”为伦敦提供了第一批督察和警察——首先是在白厅宫的建筑物中,后来在附近的大苏格兰场(Great Scotland Yard)。
如今,组织安全几乎完全是技术安全的代名词。首席信息官不仅充当技术捍卫者的角色—(而且他们以自己的方式担任执政官,县令和警察)。
范德堡大学欧文管理学院的院长M. Eric Johnson说:“对于很多组织来说,首席信息官是保护宝贵数据的关键领导者。大部分安全投资都进了首席信息官的组织中,虽然这种做法并不普遍。”
Johnson称,首席信息官的职责面临众多挑战。其中最主要的挑战是“在降低风险与促进企业创新和增长的战略之间取得平衡”。
Johnson补充道:“过于严格的安全性会产生不同的风险——限制信息交换和创造力可能会威胁到公司的竞争生存能力。对漏洞的不当反应(所有公司都以某种方式遭到破坏)可能导致其它业务方面的恶化。”
他总结道:“安全性是人类和技术要面临的共同挑战,可靠的网络安全需要一个由三部分组成的策略:1)在技术上出色地实施最起码要具备的东西,2)旨在提高员工、供应商和管理人员认知的持续教育,以及3)建立一支积极性、技术水平和创新能力不亚于坏人的安全团队。”
在本期《转型国家(Transformation Nation)》中,首席信息官描绘了自己的IT安全理念——来自网络安全战略前沿的第一手消息。公司声誉,经济福利和个人安全受损会产生重大的影响。首席信息官们通过现身说法,揭示了他们在应用和沟通方面每天都在努力应对的无数紧张时刻。
加州圣克拉拉县的首席信息官Ann Dunkin
我用三个很好记的陈述来传达我的安全理念:
首席信息官有两类:那些遭到攻击时了然于胸的人以及那些遭到击时浑然不觉的人。对首席信息官来说最可怕的事情就是安全团队因为没有发现漏洞而告诉我们一切安好。潜在的漏洞太多了,而且很多人试图攻击,因为很可能大多数企业(无论它们的安全计划有多完善)都被黑客攻击过。
面对这样的现实,我可以像胎儿一样蜷缩在角落里,但这于事无补。相反,我知道我最宝贵的资产是什么,并利用额外的资源来保护和监控这些资产。这并不意味着我会放弃对周边和其它资产的保护。我只是假设周边遭到了破坏并对我最关心的问题采取额外的保护和监控措施。这降低了黑客破坏这些资产的可能性,如果他们确实破坏了这些资产,在我还没察觉之前,这降低了他们泄露我的数据的机会。
你的抗攻击能力必须比一般人强。我们中有些人拥有黑客特别感兴趣的数据。但这是例外。在大多数情况下,很多人的数据都大同小异。我的患者数据与我国其它任何医疗系统里的数据没有什么不同。因此,如果我所具备的安全性足以阻止攻击者,那么他们会转而攻击他们认为更易受攻击的人。我以一种自私的方式降低了风险,但如果我们所有人都这么做,我们将提高集体门槛,让坏人没那么容易得逞。
用户(我们所有人)是我们最薄弱的环节和最大的资产。如今做一名最终用户真的不容易。黑客变得越来越老练。我们受到了从国家行为体(nation-state actors)到脚本小子(script kiddie)等所有人的攻击。破英语(broken English)中的网络钓鱼消息被复杂且令人信服的攻击所取代,这些攻击会向经验丰富的技术人员和普通用户发起挑战。但不管怎么样,我们的用户仍然可以发现和举报攻击。在这种环境中,我们需要不断地教育用户,并在他们陷入困境时替他们着想。我们要在这场斗争中将他们变成盟友,因为成千上万学识渊博的用户可以成为我们最大的资产。
当我与安全团队交谈时,我将以非常迥异的方式描述我的优先事项。我会谈到制定系统安全计划、保护外围和高价值资产、审计以及维护良好的网络卫生。但是在一个小小的技术圈外谈论那些事情会叫人一脸茫然。绝大多数员工只要了解怎么做贡献就可以了。
上述三个想法都很简单易记。我一有机会就谈论安全性话题,而且我总是谈论这三个想法中的一个或多个。我告诉用户他们的帮助很重要,还有就是他们如何帮助我们维护安全。我告诉工程师和设计师他们在安全性方面的设计是多么重要,我告诉系统管理员和服务台员工他们如何确保我们实施安全控制。
这三个简单的理念几乎适用于所有人,并帮助所有人记住他们的行为对保护我们的企业的重要性。
Kaiser Permanente的执行副总裁兼首席信息官Diser Daniels
我的IT安全理念有两个主要原则。第一个原则是,我们要立即积极应对风险:我们不要坐等风险恶化。在一些组织中,人们很难获得所需的支持和资金来解决哪怕是潜在问题的事物。但这就恰恰是风险变成漏洞的途径,这就是太多的组织未能及早汲取教训给我们带来的启示。
第二个原则是我们的安全性的强弱取决于安全性最薄弱的组成部分。采取多层次、整体的安全观——从外围防御到我们的员工的行动,再到与我们合作的外部组织,以了解和解决不断变化的威胁形势,这至关重要。
对安全性的信息传播可以归结为治理、行动和教育。
治理是权威、决策和监督的联合,它使我们能够确定安全优先级并实现行动。治理是我们的组织的这一能力的关键部分——按照安全理念行事并通过积极的领导承诺强调这项工作的重要性的关键部分。
我们所采取的行动对于传播这一理念也至关重要。当我们主动负责在数十万台设备上推出软件更新和安全补丁的复杂过程时,人们会注意到的。他们会看到我们的组织为了在风险恶化前应对风险并确保我们在安全链(security chain)中加强这一环节而做的投资。
最后但同样重要的是,我们专注于教育员工。虽然我们采取全面措施来防止我们的员工收到恶意电子邮件,但我们知道没有刀枪不入的防御措施。我们的首要任务是通过培训和实际演练来教育我们的员工,以检测恶意电子邮件、网络钓鱼尝试等,并举报任何可疑的内容。这是一项持之以恒的活动,旨在使我们的员工成为防守的积极力量。
我们还在领导力会议上也以安全性为重点,以确保我们在业务风险以及我们应对这些风险的战略的重要性方面不断向高级领导层提供最新情况。
德州中北部政府理事会的研究和信息服务部的首席信息官兼主任Tim Barbee
IT安全性是不可避免的灾祸。它耗掉大量资金,给客户带来了不便(你认识哪怕一个喜欢安全密码的人吗?)并且耗费了IT员工的时间,这些时间本来可能会用于帮助客户实现解决方案,以增强其组织的业务模式。但这样的灾难是必要的。
我们必须保护网络上的数据的机密性、完整性和可用性,这当然意味着人们要保护网络。窍门在于找到最具成本效益的方法,这和像其它决策领域没有什么两样。
IT安全性事关风险承受和风险规避。这有点像循环分析。
首先,你要知道组织对风险的承受能力有多大。其次,你要完成IT安全风险评估,以确定风险是什么——并优先考虑产生问题的风险,以将重点放在最有利于组织的问题上。第三,你需要确定解决每种风险的成本。很多时候,成本会促使组织对“可接受风险”的定义进行调整。人们必须了解这两种风险之间的矛盾——高效运营必须应对的风险和在没有业务案例可依据的情况下要应对的风险(因为解决这些风险成本高昂,但这样的行动并未给组织带来好处)。
安全性的乱象也是人的乱象。无论在工具、监控、自动化等方面花费多少,如果没有针对员工的良好安全教育计划,风险可能会高于已被定义为可接受的风险。我们的安全计划包括强制性在线课程和使用有针对性的网络钓鱼活动作为教育工具。如果员工受到了钓鱼攻击,他们会立即收到反馈,教他们要采取什么措施以及如何确定此特定活动存在问题。
初期培训(initial orientation)期间的每位新员工都会获得有关IT安全性的简报。此外,我们组织的主管每六个月为新员工提供更广泛的指导。在这个培训中,我强调他们的职责——使组织免受恶意软件和不受欢迎的入侵的攻击。
在我所从事的组织的所有领域,高层级别都对IT安全性的需求十分了解。在某种程度上,这是通过强调世界各地所有类型和规模的组织中出现的无休止的安全漏洞来实现的。由于得到了行政级别的认可,新安全措施广受欢迎,只要这些措施足够周全就可以了。
我们正在开展的另一项活动是同行共享。我在政府部门工作。在德克萨斯州中北部地区,有近250个政府组织,包括来自市、县、水区、污水区、学区等其它行政单位的组织。很多组织都非常希望定期会见并讨论IT安全性话题:当前问题、解决方法、经验教训等。这实际上是政府部门优于私营部门的一个地方。这里没有商业机密要保护,因此信息共享十分自由。
京公网安备 11010502049343号