Bob Violino 徐盛華

不少組織已經(jīng)看到了一個(gè)將IT安全深度整合到其整體IT戰(zhàn)略的未來(lái)。本文將講述他們?nèi)绾螌?shí)現(xiàn)此項(xiàng)計(jì)劃。

信息安全已經(jīng)在越來(lái)越多的企業(yè)中成為IT不可或缺的一部分，從企業(yè)的角度看，這兩個(gè)部分（IT戰(zhàn)略和IT安全）實(shí)際上是不可區(qū)分的。

許多企業(yè)正試圖將IT安全與IT戰(zhàn)略更緊密地整合在一起。這可能意味著需要實(shí)現(xiàn)部門的融合，需要改變領(lǐng)導(dǎo)架構(gòu)，在開(kāi)發(fā)管道中更早地嵌入安全性，以及其他的策略等。

根據(jù) CIO的2019年現(xiàn)狀調(diào)查，約2/3的企業(yè)表示，他們的IT安全戰(zhàn)略和IT戰(zhàn)略緊密結(jié)合，IT安全是IT路線圖和項(xiàng)目的關(guān)鍵組成部分。

展望未來(lái)，兩者將變得更加難以區(qū)分，83%的企業(yè)希望在未來(lái)三年內(nèi)將IT安全戰(zhàn)略緊密整合到他們的整體IT戰(zhàn)略中。

安全咨詢公司Moss Adams的網(wǎng)絡(luò)安全高級(jí)總監(jiān)Nathan Wenzler說(shuō)：“我認(rèn)為我們將看到IT戰(zhàn)略和安全戰(zhàn)略交織在一起，但方式不同于我們過(guò)去幾年所看到的。”

Wenzler認(rèn)為：“信息安全通常被視為IT部門的一個(gè)子集，并且只是管理防火墻和垃圾郵件過(guò)濾器等安全工具的地方，現(xiàn)在越來(lái)越常見(jiàn)的是，信息安全團(tuán)隊(duì)開(kāi)始起到其真正的作用：風(fēng)險(xiǎn)管理功能?！?/p>

在風(fēng)險(xiǎn)的管理和緩解方面，IT和安全策略最為緊密地集成在一起。一個(gè)常見(jiàn)的例子是應(yīng)用程序安全性。Wenzler指出，今天的安全團(tuán)隊(duì)更關(guān)心代碼是如何從開(kāi)發(fā)人員的測(cè)試臺(tái)安全地轉(zhuǎn)移到生產(chǎn)環(huán)境中的，同時(shí)還要進(jìn)行適當(dāng)?shù)臏y(cè)試和控制。

Wenzler說(shuō)，安全策略將確定代碼可能因人為失誤或錯(cuò)誤而被破壞或失去完整性的區(qū)域，并提供應(yīng)采取哪些措施來(lái)減輕或消除這些風(fēng)險(xiǎn)的建議。

“IT團(tuán)隊(duì)隨后介入，確定哪些工具最適合現(xiàn)有的基礎(chǔ)架構(gòu)，將其與現(xiàn)有的開(kāi)發(fā)工具和流程集成，并實(shí)施適當(dāng)?shù)募夹g(shù)來(lái)提供這些控制，”他說(shuō)?！斑@是現(xiàn)代戰(zhàn)略最佳結(jié)合的地方，不要期望安全團(tuán)隊(duì)成為IT專家，反之亦然?！?/p>

下面是一些關(guān)于如何更緊密地將安全實(shí)踐整合到IT戰(zhàn)略中的提示。

授權(quán)最高安全主管

將IT和安全緊密整合在一起并不意味著從安全主管那里奪走權(quán)力;事實(shí)上，在戰(zhàn)略規(guī)劃中應(yīng)該給予他們更多的發(fā)言權(quán)。

Park Place Technologies是一家存儲(chǔ)、服務(wù)器和網(wǎng)絡(luò)硬件維護(hù)服務(wù)提供商，其CIO Michael Cantor認(rèn)為，IT戰(zhàn)略和IT安全戰(zhàn)略緊密整合，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)層發(fā)揮著關(guān)鍵作用。

Cantor說(shuō)：“我們的信息安全主管在所有戰(zhàn)略討論（包括年度預(yù)算周期）中都有一個(gè)席位。他創(chuàng)建了一個(gè)五年安全路線圖，其中嵌入了每個(gè)安全功能的目標(biāo)，以確保在每一年中取得預(yù)期的進(jìn)展?！?/p>

例如，總監(jiān)的目標(biāo)之一是提高圍繞漏洞掃描的內(nèi)部能力，以便Park Place Technologies能夠以更低的成本進(jìn)行更頻繁地掃描。特別是，該目標(biāo)已納入基礎(chǔ)架構(gòu)職能部門的2019年目標(biāo)。Cantor說(shuō)，它被轉(zhuǎn)化為內(nèi)部掃描技術(shù)的實(shí)施和一個(gè)側(cè)重于更頻繁地使用該技術(shù)進(jìn)行掃描的項(xiàng)目。

安全職能部門需要處于企業(yè)的適當(dāng)級(jí)別，如果不是CEO，至少要向CIO匯報(bào)。Cantor說(shuō)：“獨(dú)立性是確保安全語(yǔ)音在不被其他IT功能（如基礎(chǔ)架構(gòu)）抑制的情況下被聽(tīng)到的必要條件?！?/p>

獲得高級(jí)管理人員對(duì)集成的支持

由于缺乏企業(yè)中最高級(jí)別人員的支持，有多少計(jì)劃偏離了軌道？IT和安全集成可能面臨同樣的命運(yùn)。

全球性家具設(shè)計(jì)和制造公司Haworth的隱私官Joe Cardamone說(shuō)：“獲得董事會(huì)、C級(jí)和領(lǐng)導(dǎo)團(tuán)隊(duì)的認(rèn)可，會(huì)給信息安全架構(gòu)和策略的早期集成帶來(lái)很多好處，在網(wǎng)上有很多此類的報(bào)道。”

Cardamone說(shuō)，展示效益并獲得領(lǐng)導(dǎo)層的認(rèn)可和支持有助于打破障礙。此外，如果高級(jí)管理人員了解安全的價(jià)值，他們可能更傾向于看到IT和安全集成的價(jià)值?！罢故拘畔踩绾伍_(kāi)展業(yè)務(wù)，而不是工作流中的另一個(gè)障礙，這很重要。”

當(dāng)IT和安全部門都與高級(jí)管理人員保持直接聯(lián)系時(shí)，情況會(huì)更好。

電氣承包商Rosendin Electric的網(wǎng)絡(luò)安全與合規(guī)高級(jí)主管James McGibney說(shuō)，這樣的直接聯(lián)系是必須的?！靶疫\(yùn)的是，我們的網(wǎng)絡(luò)安全小組在我們的IT公司內(nèi)，直接向我們的首席信息官和首席執(zhí)行官匯報(bào)。他們和我們的所有高管都非常支持我們正在開(kāi)展的IT和安全工作?！?/p>

McGibney表示，這樣的匯報(bào)流程是“完美無(wú)缺的”?！拔覀兊母呒?jí)管理人員完全理解保持強(qiáng)有力的安全態(tài)勢(shì)的重要性。如果我們迫切需要部署安全解決方案，他們總是會(huì)為我們提供堅(jiān)定不移的支持?！?/p>

經(jīng)常溝通和建立關(guān)系

IT部門和安全人員之間良好溝通的必要性不能忽略，這對(duì)于有效整合至關(guān)重要。

在Rosendin Electric公司，兩個(gè)部門之間的溝通至關(guān)重要。

McGibney說(shuō)：“人的因素是當(dāng)今任何IT公司面臨的最大風(fēng)險(xiǎn)。成功的網(wǎng)絡(luò)釣魚(yú)活動(dòng)很容易使一家企業(yè)突然停止運(yùn)營(yíng)。為了提供真正的縱深防御，IT和安全部門需要協(xié)同工作，跨攻擊面實(shí)施解決方案，無(wú)論是在本地解決方案還是基于云的解決方案。安全組實(shí)現(xiàn)的內(nèi)容影響基礎(chǔ)架構(gòu)，而基礎(chǔ)架構(gòu)實(shí)現(xiàn)的內(nèi)容影響安全性。他們真的是攜手共進(jìn)?！?/p>

Wenzler認(rèn)為，IT和安全團(tuán)隊(duì)需要了解他們都在努力地想要實(shí)現(xiàn)什么，以及為什么這對(duì)企業(yè)很重要。他說(shuō)：“當(dāng)雙方不溝通時(shí)，很容易使風(fēng)險(xiǎn)策略與技術(shù)目標(biāo)不一致。雖然功能各不相同，但它們對(duì)彼此的成功是不可或缺的，因此如果沒(méi)有持續(xù)的溝通，它們就會(huì)始終不同步。”

Cardamone也認(rèn)為：這兩個(gè)部門之間建立更好的關(guān)系很重要。因?yàn)樾畔踩藛T有時(shí)會(huì)被視為項(xiàng)目的絆腳石，阻礙了工作流程。

為了幫助建立橋梁，信息安全團(tuán)隊(duì)需要強(qiáng)調(diào)團(tuán)隊(duì)協(xié)作。

Cardamone說(shuō)，在Haworth，IT工程師和信息安全團(tuán)隊(duì)每月都會(huì)召開(kāi)會(huì)議，討論即將發(fā)生的變化、項(xiàng)目、挑戰(zhàn)以及可以讓任何一方受益的其他問(wèn)題?！笆惯@項(xiàng)工作最有效的是管理團(tuán)隊(duì)支持這類行為，并從IT部門常見(jiàn)的孤立行為中走出來(lái)。”

利用安全標(biāo)準(zhǔn)并使用可比較的指標(biāo)

這些希望集成IT和安全的企業(yè)應(yīng)該考慮使用標(biāo)準(zhǔn)安全框架，例如由美國(guó)標(biāo)準(zhǔn)技術(shù)研究所（NIST）創(chuàng)建的框架來(lái)為安全環(huán)境設(shè)定目標(biāo)。

“這可以創(chuàng)建一個(gè)安全路線圖，該路線圖可以有效地進(jìn)行優(yōu)先級(jí)劃分，并與所有功能共享，以設(shè)置年度目標(biāo)?！盋antor說(shuō)。

Cantor指出，在企業(yè)中使用一個(gè)標(biāo)準(zhǔn)化安全操作框架，可以確保安全的所有方面都得到識(shí)別，并且可以優(yōu)先考慮風(fēng)險(xiǎn)和成熟度目標(biāo)。一旦一家企業(yè)選擇了一個(gè)框架，并根據(jù)其對(duì)特定情況的適用性部署了各種元素，“那么該企業(yè)基本上就有了一個(gè)安全策略?！?/p>

“安全性僅能在其自身功能范圍內(nèi)實(shí)現(xiàn)特定目標(biāo)是非常罕見(jiàn)的。通常需要結(jié)合其他功能來(lái)實(shí)現(xiàn)安全目標(biāo)，因此這種與整體IT戰(zhàn)略的集成是成功的關(guān)鍵?！盋antor說(shuō)。

Wenzler認(rèn)為，除了標(biāo)準(zhǔn)之外，IT和安全團(tuán)隊(duì)還應(yīng)致力于使用可比較的度量標(biāo)準(zhǔn)，以便不混淆最終目標(biāo)。很多時(shí)候，安全團(tuán)隊(duì)開(kāi)始使用與IT團(tuán)隊(duì)或運(yùn)營(yíng)職能無(wú)關(guān)的方式衡量風(fēng)險(xiǎn)甚至取得成功。

“同樣，正常運(yùn)行時(shí)間測(cè)量或幫助臺(tái)響應(yīng)可能涉及安全性的‘完整性和可用性支柱，但不能正確解決風(fēng)險(xiǎn)問(wèn)題。應(yīng)確保每個(gè)人都了解正在使用的指標(biāo)，并利用能夠通過(guò)技術(shù)改進(jìn)揭示風(fēng)險(xiǎn)降低的指標(biāo)?！盬enzler說(shuō)。

在產(chǎn)品中構(gòu)建數(shù)據(jù)保護(hù)

有效的IT和安全集成應(yīng)該擴(kuò)展到企業(yè)為其客戶提供的產(chǎn)品和服務(wù)，以及企業(yè)內(nèi)部使用的產(chǎn)品和服務(wù)，而不考慮行業(yè)。

McGibney說(shuō)：“在我們的IT產(chǎn)品中構(gòu)建數(shù)據(jù)保護(hù)至關(guān)重要?！崩?，當(dāng)向員工發(fā)放企業(yè)手機(jī)時(shí)，它會(huì)立即在統(tǒng)一的端點(diǎn)管理系統(tǒng)中注冊(cè)。如果員工帶上自己的設(shè)備，他們也必須注冊(cè)，否則設(shè)備不允許訪問(wèn)任何企業(yè)資源。

“隨著網(wǎng)絡(luò)釣魚(yú)活動(dòng)的兇猛來(lái)臨，任何企業(yè)都有員工點(diǎn)擊模糊鏈接、輸入登錄憑證的風(fēng)險(xiǎn)。黑客不僅可以自由訪問(wèn)你的Active Directory基礎(chǔ)架構(gòu)，還可以訪問(wèn)你的流程和進(jìn)程。反過(guò)來(lái)，這通常會(huì)導(dǎo)致更集中的網(wǎng)絡(luò)釣魚(yú)攻擊?！盡cGibney說(shuō)。

物聯(lián)網(wǎng)（IoT）擴(kuò)大了攻擊面。McGibney認(rèn)為，“所有接觸到互聯(lián)網(wǎng)的東西都會(huì)成為企業(yè)的潛在切入點(diǎn)。電話、平板電腦、筆記本電腦、臺(tái)式機(jī)、安全攝像頭、照明控制、恒溫器、虛擬現(xiàn)實(shí)設(shè)備等。所有這些設(shè)備都需要經(jīng)過(guò)某種補(bǔ)丁管理和漏洞管理進(jìn)程。”

McGibney說(shuō)，黑客可以說(shuō)是世界上最聰明的人?！爱?dāng)他們下定決心并一意想滲透你的環(huán)境時(shí)，他們將使用任何必要的手段來(lái)實(shí)現(xiàn)他們的目標(biāo)。無(wú)論是通過(guò)社會(huì)工程還是網(wǎng)絡(luò)釣魚(yú)活動(dòng)，企業(yè)都必須保持警惕和安全意識(shí)?！?/p>

Bob Violino 是一位在紐約的特約作家，服務(wù)于 Computerworld， CIO， CSO， InfoWorld，? Network World。

原文網(wǎng)址

https：//www.cio.com/article/3407737/how-to-better-integrate-it-security-and-it-strategy.html