企業(yè)如何應對新興技術的信息安全策略管理

2013-10-29 10:43:52 TechTarget中國　點擊量：評論 (0)

　　我曾經(jīng)做過幾個組織的CISO（首席信息安全官），那時如果組織要實施新的技術和業(yè)務實踐，安全團隊總是會和一個污名聯(lián)系在一起。我的安全團隊有機會提供安全輸入時，總是被組織視為這是在對新的想法說不。對于

　　我曾經(jīng)做過幾個組織的CISO（首席信息安全官），那時如果組織要實施新的技術和業(yè)務實踐，安全團隊總是會和一個污名聯(lián)系在一起。我的安全團隊有機會提供安全輸入時，總是被組織視為這是在對新的想法說“不”。對于現(xiàn)在很多信息安全從業(yè)者，這個不好的看法仍然存在。

　　事實上，信息安全團隊和他們所服務的組織之間的關系遠比這個復雜，企業(yè)非安全管理人員至少應該明白，安全團隊的作用是保護公司，公司的知識產(chǎn)權和品牌。而最有效的保護方法就是通過開發(fā)不限制公司業(yè)務的安全策略。

　　現(xiàn)在，每個企業(yè)在信息安全管理方面都必須做得更多更快。企業(yè)領導者很容易因為CISO提供的任意認知障礙而感到沮喪，往往試圖找到自己的解決方案。云計算、SaaS和BYOD等新潮流讓規(guī)避傳統(tǒng)IT和安全流程變得更簡單。

　　每個CISO都必須管理他所在組織的技術和業(yè)務流程變化，以確保安全在一開始就得到保障。然而，CISO的責任是確保技術是安全的，而不是禁止新技術。在這篇文章中，我們將探討一些業(yè)務經(jīng)理和其它利益相關者可以購買的安全策略，這些安全策略最終可以讓業(yè)務流程變得更安全，更有保障。

　　最初的理念

　　正如我過去在專欄中指出的那樣，CISO需要不斷地理解一些關鍵理念。如果安全團隊將這些理念付諸實際，而客戶又理解這些理念，那么就很容易讓企業(yè)中每個人都相信安全的重要作用并且支持安全團隊，而不是去規(guī)避安全團隊。

　　對違例有所設想。開發(fā)新技術和流程時，工作人員應該認識到，沒有什么是萬無一失的，違例總會發(fā)生。因此，當組織推行一些支持BYOD這樣的新技術的策略時，制定降低風險的控制措施是很重要的，如數(shù)據(jù)孤島（也被稱為飛地）。花時間幫助企業(yè)領導者和其它利益相關者了解違例的風險總是存在的，而一些額外的安全層，如新的編碼評論或添加保護，可能適用于這一新技術理論，降低風險。

　　了解業(yè)務。CISO和安全人員需要了解業(yè)務。這樣可以讓安全團隊成為解決方案的一部分，確保技術的安全使用，如云計算或BYOD。而且還可以促進安全團隊和業(yè)務團隊的合作，往往可以引發(fā)關于如何讓新興系統(tǒng)更安全的更好想法。向業(yè)務經(jīng)理解釋為什么必須實施某一特定安全措施時，安全團隊可以提供深刻又基于事實的理論，再也不會只說“因為我認為如此” 這樣沒有說服力的理由了。

　　盡早并經(jīng)常考慮業(yè)務安全問題。一旦企業(yè)考慮實施或推出新技術，安全團隊需要成為討論組的一部分，項目一開始安全團隊就需要在腦中構思業(yè)務安全策略。如果CISO和他的團隊沒有參與到項目形成理念、架構和實施過程中，業(yè)務安全方面很有可能會失敗，更糟糕的是，當業(yè)務后期遇到安全問題時，通常會導致需要昂貴資金解決的危機。因此，安全團隊必須一開始就參與到項目討論中，協(xié)助業(yè)務團隊讓項目順利進行，并將安全風險控制在管理人員可承受能力范圍內(nèi)。企業(yè)領導者需要將安全團隊視為新項目解決方案的一部分。

　　如何進行

　　想要在這些情況下孕育成功，在討論時帶來解決方案是最關鍵的。不要專注于企業(yè)的利益相關者提出的安全相關問題，一開始應該是制定促進安全使用的政策。例如，一個組織如果要推行BYOD策略，那么它可能需要某些業(yè)務規(guī)則，如設備丟失或被盜時馬上聯(lián)系IT人員。安全策略不僅僅可以幫助組織在保護企業(yè)數(shù)據(jù)安全時采取必要的步驟，而且可以幫助員工極可能少地遭遇業(yè)務中斷情況。

　　為了了解什么技術在不斷涌現(xiàn)，以及如何運用這些新技術，就要關注市場上在發(fā)生什么：每天關注你所在行業(yè)或平行行業(yè)的貿(mào)易報道、商業(yè)新聞，并積極和公司領導交談。CSA（云安全聯(lián)盟）是一個集合安全想法資源的很棒平臺，企業(yè)領導者也認為CSA很有價值。CSA有各種各樣的出版物，里面包括那些專門針對云安全和BYOD的文章。在架構和部署新項目的會議上，作為CISO，應該要考慮將這些標準和文檔帶到會議桌上，讓大家都可以了解并討論。

　　在會議桌上以良好的安全策略形式展現(xiàn)解決方案，業(yè)務團隊會將你定位成一個貢獻者，而不是阻饒者。引用外部資源，表明你一直在關注新技術的變化，這可以提高你的信譽。

　　全球范圍內(nèi)還有需要通過審核的優(yōu)秀安全策略指南和技術指導，包括來自NIST（美國國家標準技術研究所）和ENISA（歐洲網(wǎng)絡與信息安全局）的各種出版物。

　　這些指南不僅僅對于教育安全團隊關于國家和國際標準很有效，而且可以幫助教育企業(yè)領導者和技術實施人員，在沒有CISO的情況下，他們通常被視為FUD（恐懼，不確定和懷疑）的傳播者。帶來并實施可行的想法可以讓新技術系統(tǒng)更安全，其結果是，支持新技術的安全策略和程序會給新技術一些“外部的支持”，這樣就可以為這個新技術提供一個更好更可信的基礎。

　　結論

　　一個CISO不能對企業(yè)領導者和終端用戶所提出的想法簡單的說“不！”。相反，CISO應該依靠他們的安全團隊和業(yè)務部門協(xié)同合作，幫助他們開發(fā)、部署和維護一種安全技術來降低業(yè)務的風險。而且，管理人員和員工都要接受教育，知道如何面對安全威脅，為什么安全方面對于公司和個人成功推出一個新項目是至關重要的。