信息安全已经成为了IT的一个不可或缺的部分,以至于在越来越多的组织中,从组织的角度来看,这两者实际上是无法区分的。
许多公司正试图将IT安全策略与IT策略更紧密地集成在一起。这可能意味着需要混合部门、改变领导结构、并在开发流程中更早地嵌入安全性,以及其他策略。
根据2019年的CIO状态调查,大约三分之二的组织表示,他们的IT安全战略和IT战略正紧密结合,IT安全是IT路线图和项目的关键组成部分。
但是展望未来,这两者变得更加难以区分了,83%的组织希望在未来三年内将IT安全策略紧密地集成到他们的总体IT策略当中。
安全咨询公司MossAdams的网络安全高级主管NathanWenzler表示:“我认为,我们将看到IT会与安全战略交织在一起,但方式可能会与我们过去几年所看到的有所不同。”
“信息安全通常被视为IT部门的一个子集,并且通常只是管理防火墙和垃圾邮件过滤器等安全工具的地方,现在将越来越多地看到信息安全团队本来真正的面目:风险管理功能,”Wenzler说。
在风险管理和降低风险方面,IT和安全策略紧密地结合在了一起。一个常见的例子是应用程序的安全性。Wenzler说,现在的安全团队更关心的是代码是如何从开发人员的测试平台安全地转移到生产环境中的,并在此过程中进行了适当的测试和控制。
安全策略将确定代码可能因人为错误或其它错误而受到损害或丢失完整性的区域,并为应该采取什么措施来减轻或消除这些风险提供建议,Wenzler说。
“然后,IT团队将介入来确定哪些工具最适合放在现有的基础设施上,并将与现有的开发工具和流程集成,以实现正确的技术来提供这些控制,”Wenzler说。“这是现代战略最好的结合之处,而不需要安全团队成为IT专家,或者反过来。”
下面是一些关于如何更紧密地将安全实践集成到IT策略中的技巧。
授权给最高安全主管
将IT和安全紧密结合在一起不应意味着剥夺安全主管的权力;事实上,他们应该在战略规划上有更多的发言权。
Park Place Technologies是一家提供存储、服务器和网络硬件维护服务的提供商,在这里,IT战略和IT安全战略能够紧密结合,网络安全领导层也发挥着关键作用,其CIO Michael Cantor表示。
“我们的信息安全主管在所有战略讨论中都有一席之地,包括年度预算周期,”Cantor说。“他制定了一个五年的安全路线图,其中为每个安全职能都设定了目标,以确保在今年取得预期的进展。”
例如,该主管的目标之一是提高围绕漏洞扫描的内部能力,以便Park Place Technologies能够以更低的成本实现更频繁地扫描。特别是,这一目标已纳入基础设施功能的2019年目标。Cantor说,它也被转化为了内部扫描技术的实现,以及一个专注于更频繁地使用该技术进行扫描的项目。
Cantor说,安全功能需要处于组织的适当级别,如果不是CEO,也至少要向CIO报告。他表示:“独立是必要的,要确保安全方面的声音能够被听到,而不是被其它IT功能(如基础设施)所压制。”
从高级管理人员那里获得集成支持
由于缺乏组织中高级人员的支持,有多少计划偏离了轨道?IT和安全集成也可能面临相同的命运。
全球家具设计和制造公司Haworth的隐私官Joe Cardamone表示:“你需要从董事会、C级管理层和领导团队那里获得认可。互联网上存在着大量关于早期整合信息安全架构和战略的好处的信息。”
Cardamone说,展示这些好处,获得领导的认可和支持,有助于打破障碍。此外,如果高级管理人员了解安全性的价值,他们也可能更倾向于看到IT和安全性集成的价值。
Cardamone说:“你需要展示信息安全是如何使业务成为可能的,而不仅仅是工作流中的另一个障碍。”
如果IT和安全部门都能与高管直接通话,那就更好了。
网络安全和合规性高级主管JamesMcGibney表示,在电气承包商Rosendin Electric,这条路是必不可少的。“幸运的是,我们的网络安全小组能够在我们的IT组织内部,直接向我们的CIO和CEO报告,”他说。“他们和我们所有的高管都非常支持我们正在进行的IT和安全工作。”
McGibney说,这个报告过程几乎是“完美无缺”的,“我们的高级管理人员完全理解保持强有力的安全态势的重要性。如果我们迫切需要部署新的安全解决方案,他们总是会给我们提供坚定的支持。”
经常沟通并建立关系
IT人员和安全人员之间需要良好的沟通,这一点再怎么强调都不过分,这对实现有效的集成来说是至关重要的。
在Rosendin Electric,这两门学科之间的交流是至关重要的。
“人的因素是当今IT组织所面临的最大风险,”McGibney说。“成功的网络钓鱼活动很容易就让公司陷入瘫痪状态。要提供真正的深度防御,IT和安全需要共同工作,跨攻击面的实施解决方案,无论是基于本地的解决方案还是基于云的解决方案。安全组实现的内容将影响基础设施,而基础设施实现的内容也会影响安全。它们需要携手并进。”
Wenzler说,IT和安全团队需要了解他们都想要完成什么,以及为什么它对组织来说是很重要的。“当双方互不沟通时,风险策略便很容易与技术目标脱节,”他说。“虽然功能不同,但它们对彼此的成功是不可或缺的,因此如果没有持续的沟通,它们将无法同步。”
因此,在这两个学科之间建立更好的关系是很重要的。Cardamone说,信息安全人员有时会被视为项目的路障和工作流程的阻碍。
为了帮助构建桥梁,信息安全团队需要强调团队合作。
Cardamone说,在Haworth, IT工程师和信息安全团队每月都会举行一次会议,以讨论即将到来的变化、项目、挑战和其他对任何一方都有利的问题。他说:“最有效的做法是,让领导团队来支持这种类型的行为,并减少经常在IT中看到的孤立行为。”
利用安全标准并使用可比较的度量标准
希望集成IT和安全的公司应该考虑使用标准的安全框架,比如由国家标准和技术研究所(NIST)创建的框架,以便为安全环境设置目标。
“可以创建一个安全路线图,有效地划分优先级,并与所有功能共享,以设置年度目标,”Cantor说。
在公司内部使用标准化安全操作的框架,可以确保安全的所有方面都得到了标识,并且可以根据风险和成熟度目标对其进行优先级排序。一旦一家公司选择了一个框架,并根据它们在特定情况下的适用程度来部署各种元素,“那么该公司基本上就有了一个安全策略,”Cantor说。
“安全可以在其自身功能范围内实现特定目标的情况非常罕见。”Cantor说。“它通常需要结合其他功能来实现安全目标,因此这种与整体IT策略的集成是成功的关键。”
除了标准之外,IT和安全组织还应该致力于使用可比较的度量标准,这样就不会混淆最终目标。很多时候,安全团队开始会以与IT团队或操作功能无关的方式来度量风险甚至成功,Wenzler说。
“同样,正常运行时间测量或帮助台响应可能会涉及到安全性的‘完整性和可用性’支柱,但却不能正确地处理风险问题,”Wenzler说。“确保每个人都能够理解正在使用的度量标准,并利用技术来改进揭示风险降低的度量标准。”
在公司产品中加入数据保护
有效的IT和安全集成应该扩展到公司提供给客户和内部使用的所有产品和服务当中,而不管行业如何。
“在我们的IT产品中构建数据保护是至关重要的,”McGibney说。例如,当向员工发放公司的手机时,它会立即在统一的端点管理系统中注册。如果员工携带自己的设备,他们也必须注册,否则这些设备将无法访问任何公司的资源。
“随着网络钓鱼活动的日益猖獗,任何一家公司都会有这样的风险:员工点击了一个模糊的链接,输入了他们的登录凭证,剩下的便都如历史所述了,”McGibney说。“黑客不仅能够肆无忌惮地访问您的Active Directory基础设施;它们还可以访问您的流程和过程。反过来,这通常也会导致更集中的网络钓鱼攻击。”
物联网还扩展了攻击面。“任何触及互联网的东西都可能成为企业的一个潜在切入点,”McGibney说。“手机、平板电脑、笔记本电脑、台式电脑、安全摄像头、灯光控制、恒温器、VR(虚拟现实)设备等。所有这些设备都需要采用某种补丁管理和漏洞管理流程。”
McGibney说,黑客可以说是世界上最聪明的人。“当他们下定决心,专注于渗透到你的环境中时,他们会使用任何必要的手段来实现他们的目标,”他说。“无论这是通过社会工程还是网络钓鱼活动发生的,公司都必须保持警惕并提高安全意识。”
京公网安备 11010502049343号