信息安全已经在越来越多的企业中成为IT不可或缺的一部分,从企业的角度看,这两个部分(IT战略和IT安全)实际上是不可区分的。
许多企业正试图将IT安全与IT战略更紧密地整合在一起。这可能意味着需要实现部门的融合,需要改变领导架构,在开发管道中更早地嵌入安全性,以及其他的策略等。
根据 CIO的2019年现状调查,约2/3的企业表示,他们的IT安全战略和IT战略紧密结合,IT安全是IT路线图和项目的关键组成部分。
展望未来,两者将变得更加难以区分,83%的企业希望在未来三年内将IT安全战略紧密整合到他们的整体IT战略中。
安全咨询公司Moss Adams的网络安全高级总监Nathan Wenzler说:“我认为我们将看到IT战略和安全战略交织在一起,但方式不同于我们过去几年所看到的。”
Wenzler认为:“信息安全通常被视为IT部门的一个子集,并且只是管理防火墙和垃圾邮件过滤器等安全工具的地方,现在越来越常见的是,信息安全团队开始起到其真正的作用:风险管理功能。”
在风险的管理和缓解方面,IT和安全策略最为紧密地集成在一起。一个常见的例子是应用程序安全性。Wenzler指出,今天的安全团队更关心代码是如何从开发人员的测试台安全地转移到生产环境中的,同时还要进行适当的测试和控制。
Wenzler说,安全策略将确定代码可能因人为失误或错误而被破坏或失去完整性的区域,并提供应采取哪些措施来减轻或消除这些风险的建议。
“IT团队随后介入,确定哪些工具最适合现有的基础架构,将其与现有的开发工具和流程集成,并实施适当的技术来提供这些控制,”他说。“这是现代战略最佳结合的地方,不要期望安全团队成为IT专家,反之亦然。”
下面是一些关于如何更紧密地将安全实践整合到IT战略中的提示。
授权最高安全主管
将IT和安全紧密整合在一起并不意味着从安全主管那里夺走权力;事实上,在战略规划中应该给予他们更多的发言权。
Park Place Technologies是一家存储、服务器和网络硬件维护服务提供商,其CIO Michael Cantor认为,IT战略和IT安全战略紧密整合,网络安全领导层发挥着关键作用。
Cantor说:“我们的信息安全主管在所有战略讨论(包括年度预算周期)中都有一个席位。他创建了一个五年安全路线图,其中嵌入了每个安全功能的目标,以确保在每一年中取得预期的进展。”
例如,总监的目标之一是提高围绕漏洞扫描的内部能力,以便Park Place Technologies能够以更低的成本进行更频繁地扫描。特别是,该目标已纳入基础架构职能部门的2019年目标。Cantor说,它被转化为内部扫描技术的实施和一个侧重于更频繁地使用该技术进行扫描的项目。
安全职能部门需要处于企业的适当级别,如果不是CEO,至少要向CIO汇报。Cantor说:“独立性是确保安全语音在不被其他IT功能(如基础架构)抑制的情况下被听到的必要条件。”
获得高级管理人员对集成的支持
由于缺乏企业中最高级别人员的支持,有多少计划偏离了轨道?IT和安全集成可能面临同样的命运。
全球性家具设计和制造公司Haworth的隐私官Joe Cardamone说:“获得董事会、C级和领导团队的认可,会给信息安全架构和策略的早期集成带来很多好处,在网上有很多此类的报道。”
Cardamone说,展示效益并获得领导层的认可和支持有助于打破障碍。此外,如果高级管理人员了解安全的价值,他们可能更倾向于看到IT和安全集成的价值。“展示信息安全如何开展业务,而不是工作流中的另一个障碍,这很重要。”
当IT和安全部门都与高级管理人员保持直接联系时,情况会更好。
电气承包商Rosendin Electric的网络安全与合规高级主管James McGibney说,这样的直接联系是必须的。“幸运的是,我们的网络安全小组在我们的IT公司内,直接向我们的首席信息官和首席执行官汇报。他们和我们的所有高管都非常支持我们正在开展的IT和安全工作。”
McGibney表示,这样的汇报流程是“完美无缺的”。“我们的高级管理人员完全理解保持强有力的安全态势的重要性。如果我们迫切需要部署安全解决方案,他们总是会为我们提供坚定不移的支持。”
经常沟通和建立关系
IT部门和安全人员之间良好沟通的必要性不能忽略,这对于有效整合至关重要。
在Rosendin Electric公司,两个部门之间的沟通至关重要。
McGibney说:“人的因素是当今任何IT公司面临的最大风险。成功的网络钓鱼活动很容易使一家企业突然停止运营。为了提供真正的纵深防御,IT和安全部门需要协同工作,跨攻击面实施解决方案,无论是在本地解决方案还是基于云的解决方案。安全组实现的内容影响基础架构,而基础架构实现的内容影响安全性。他们真的是携手共进。”
Wenzler认为,IT和安全团队需要了解他们都在努力地想要实现什么,以及为什么这对企业很重要。他说:“当双方不沟通时,很容易使风险策略与技术目标不一致。虽然功能各不相同,但它们对彼此的成功是不可或缺的,因此如果没有持续的沟通,它们就会始终不同步。”
Cardamone也认为:这两个部门之间建立更好的关系很重要。因为信息安全人员有时会被视为项目的绊脚石,阻碍了工作流程。
为了帮助建立桥梁,信息安全团队需要强调团队协作。
Cardamone说,在Haworth,IT工程师和信息安全团队每月都会召开会议,讨论即将发生的变化、项目、挑战以及可以让任何一方受益的其他问题。“使这项工作最有效的是管理团队支持这类行为,并从IT部门常见的孤立行为中走出来。”
利用安全标准并使用可比较的指标
这些希望集成IT和安全的企业应该考虑使用标准安全框架,例如由美国标准技术研究所(NIST)创建的框架来为安全环境设定目标。
“这可以创建一个安全路线图,该路线图可以有效地进行优先级划分,并与所有功能共享,以设置年度目标。”Cantor说。
Cantor指出,在企业中使用一个标准化安全操作框架,可以确保安全的所有方面都得到识别,并且可以优先考虑风险和成熟度目标。一旦一家企业选择了一个框架,并根据其对特定情况的适用性部署了各种元素,“那么该企业基本上就有了一个安全策略。”
“安全性仅能在其自身功能范围内实现特定目标是非常罕见的。通常需要结合其他功能来实现安全目标,因此这种与整体IT战略的集成是成功的关键。”Cantor说。
Wenzler认为,除了标准之外,IT和安全团队还应致力于使用可比较的度量标准,以便不混淆最终目标。很多时候,安全团队开始使用与IT团队或运营职能无关的方式衡量风险甚至取得成功。
“同样,正常运行时间测量或帮助台响应可能涉及安全性的‘完整性和可用性’支柱,但不能正确解决风险问题。应确保每个人都了解正在使用的指标,并利用能够通过技术改进揭示风险降低的指标。”Wenzler说。
在产品中构建数据保护
有效的IT和安全集成应该扩展到企业为其客户提供的产品和服务,以及企业内部使用的产品和服务,而不考虑行业。
McGibney说:“在我们的IT产品中构建数据保护至关重要。”例如,当向员工发放企业手机时,它会立即在统一的端点管理系统中注册。如果员工带上自己的设备,他们也必须注册,否则设备不允许访问任何企业资源。
“随着网络钓鱼活动的凶猛来临,任何企业都有员工点击模糊链接、输入登录凭证的风险。黑客不仅可以自由访问你的Active Directory基础架构,还可以访问你的流程和进程。反过来,这通常会导致更集中的网络钓鱼攻击。”McGibney说。
物联网(IoT)扩大了攻击面。McGibney认为,“所有接触到互联网的东西都会成为企业的潜在切入点。电话、平板电脑、笔记本电脑、台式机、安全摄像头、照明控制、恒温器、虚拟现实设备等。所有这些设备都需要经过某种补丁管理和漏洞管理进程。”
McGibney说,黑客可以说是世界上最聪明的人。“当他们下定决心并一意想渗透你的环境时,他们将使用任何必要的手段来实现他们的目标。无论是通过社会工程还是网络钓鱼活动,企业都必须保持警惕和安全意识。”
作者:Bob Violino 是一位在纽约的特约作家,服务于 Computerworld, CIO, CSO, InfoWorld, Network World。
编译:徐盛华
原文网址:https://www.cio.com/article/3407737/how-to-better-integrate-it-security-and-it-strategy.html