|
一、建立具有风险意识的文化与管理体系 您的企业是否在正执行和跟踪正确的风险管理以纠正险不良的行为? 在使用技术过程中,公司里的每一个人都有可在使用技术过程中,公司里的每一个人都有可能影响到企业,无论是从点击一个可疑的邮件附件或是未能在智能手机上安装安全补丁。 建立风险意识文化包括设置风险和目标,并传播关于他们的介绍。 管理需要严格地从上到下推动这一变化,同时实现采用工具来跟踪管理进度的方式。 您所要做的就是: 从一个以战略和企业视野为驱动的领导角度,将安全任务从购买IT产品拓展到跨越整个企业的IT风险管理。并设计一个结构化的治理模型,可以确保积极主动的风险识别与管理。通过交流与沟通以提升对潜在风险的意识。此外,还需建立一个以策略、衡量标准和合理工具为支撑的管理系统。 今天,客户管理IT风险的挑战是什么? 社交业务飞速增长,云与虚拟化技术全新的业务模式和全新的技术, 随着以Facebook、Twitter为代表的各类社交化业务在全球范围内飞速增长,以及云计算时代虚拟化技术快速发展所带来的技术变革,这些全新的业务模式和全新的技术为企业安全管理带来了新的挑战。 面对挑战,CISO必须从以下多个维度进行考虑: • CISO的角色已经变得越来忽略战术而越来越侧重战略 • 业务相关者要求在安全管理上有发言权 • 合规要求 – 更繁琐,更昂贵 • 第三方风险引起越来越多的关注 • 目标:保护品牌! • 主动的安全智能已成为必然 • 有效地管理风险需要一个全面的安全观 首先,作为一个企业的CISO,要建立信息安全保障能力。需要领导整个企业IT安全,并做好战略规划和方向指引。利用定义的权力、人才和必要的资源,建立专门的信息安全保障能力,使之成为职责、方向与监督的中心。 再次,要建立具有风险意识的文化体系。1、要明白安全属于每一个人,作为董事会需提供战略保障监督、投资、接收充分有效的常规报告;作为CEO,需要设置优先级,指定领导,接收报告,提供监督,并保证强有力的,可见的高管层支持;作为经理领导团队/高级业务经理,需设置组织优先权,控制资源分配;极大地影响组织的“个性”;作为程序经理和开发人员,需要确保安全从开始起贯穿每一项目的生命周期;全体员工应分担操作和维护信息的责任,积极遵守在他们工作领域的安全环境,适当的报告异常的安全相关状况。2、公司需要定期组织安全培训和教育,证明个人有能力履行工作职责。3、安全意识程序提升风险意识文化。4、看齐组织文化环境和业务目标。 第三,将一致的安全风险管理实践纳入整体IT采购,开发和生命周期管理实践中。建立一个足够敏捷和灵活的风险管理评估过程应用于整个组织。 如何建立具有风险意识的文化与管理体系? 构建具有风险意识文化与管理体系的关键元素,主要包括: 1、构建风险意识管理系统。 建立风险管理程序来识别和优先排序业务威胁和风险; 定义治理方法来驱动决定责任和义务;建立一项风险意识战略和企业架构;为所需的技能与能力平衡人力资源。 2、用沟通来驱动风险意识文化。理解并检验当前企业程序的有效性; 与员工、客户与供应商展望新的风险意识文化;定义风险意识文化程序(与业务拥有者和流程拥有者一起);建立一个培训与意识程序。 3、可测量和成熟的管理系统。 建立测量程序 (企业文化,流程与技术);收集数据和部署风险报告工具以方便测量,风险管理,沟通和及时的决策。并创建一个安全意识计划,用来考量由企业风险管理计划和当前事件驱动的安全意识培训。 二、建立智能的安全运维和快速威胁响应 您该如何利用安全智能来使我的业务获得利益? 我们说当有两个类似的安全事件发生,一个发生在中国 另一个发生在美国。它们有可能是关联的。但是如果没有智能分析帮助关联起它们,这么重要的一个模式可能不会被关注到。 依靠全公司的努力来实现智能分析和自动响应能力是必不可少的。 创建一个自动化的、统一的系统使企业监测它的运行,并且快速响应。 您所要做的: ◆建立一支熟练的事件管理团队,具备足够的资源来应对取证要求。 ◆开发一套统一的事件处理策略和流程。 ◆利用一致的工具和安全智能进行事件管理和调查取证。 ◆开发安全信息事件管理能力来捕捉和跟踪所有安全事件。 我们处在一个信息安全事件持续增长的时代,几乎天天都在发生数据泄露事件,攻击技术泛滥成灾。这些数据安全事件是否会对企业产生重大影响?您的企业信息是否会被未经授权的用户访问?您是否有足够资源和信息来有效应对? 目前有些企业缺乏统一的,跨公司的政策和流程来响应事故的发生。需要可操作的信息,知道该做什么。有些企业没有在取证分析工具上进行投资,有的企业缺乏缺乏资源或者技能来响应和调查安全事件。因此,企业需要智能的管理安全事件,建立智能的安全运维和快速威胁响应机制。 三、社交网络和移动办公的安全协作 当要保证办公场所安全的时候,您该考虑哪些方面? 员工越来越多的把他们自己的设备带到工作中,并充分的利用社交媒体用于他们的通信。每个工作站,笔记本电脑,或智能手机都为恶意攻击提供了潜在的开放入口。 设备的配置不能留由个人或者自治团体自行设置,而必须受到集中化管理和执行。 确保员工安全,意味着必须找到开放性与风险管理的平衡点。 您所要做的: ◆确保员工采用他们自己的设备时,可以同时提供业务和个人数据处理能力,并且保护企业数据资产。. ◆终端用户计算平台安全化,基于员工角色满足风险要求。 ◆强制跨工作站,移动设备和桌面云镜像的自动终端安全设置。 ◆将业务,客户和个人数据分隔独立保护。 BYOD时代,企业移动面临诸多安全挑战。企业需事先个人隐私和企业数据的安全隔离,实现身份管理、访问控制和授权,从而提供企业应用和数据的安全访问连接。对于开发的移动应用要进行必要的漏洞测试,保证应用的安全。 企业需避免员工在未经许可和无安全控制的情况下使用个人设备,需要支持各种私人和企业拥有设备且同时保持企业安全策略的完整性。 此外,针对智能终端,要专注终端风险,提供用户所需的灵活性,创新性。对所有的设备进行注册,实现终端的可视性,并能集中强制实施安全策略;实施安全工具诸如防火墙、防病毒、入侵防护来阻止通过终端漏洞的恶意攻击;考虑数据分离和加密技术来防止数据丢失。 四、设计开发“安全”的产品 “安全的设计”对我的业务来说意味着什么? 想象一下,如果汽车公司生产的汽车没有安全带和安全气囊,过后再把它们添加上去。这将是愚蠢并且代价惊人的。 同样的,信息系统最大的问题之一就是以实施为第一优先,然后把安全保护作为事后的考虑。 最好的办法就是从一开始就建立起安全,并定期进行自动化测试 以追踪合规的执行情况。 您所要做的: ◆评估质量检验的最佳点应该在哪儿。 ◆通过在设计过程中嵌入安全解决方案来降低成本。而且安全嵌入式应用设计,可以防止额外费用和失去用户或客户的满意度。 ◆使用工具大规模采集分析并且跟踪合规状况。 ◆通过道德黑客测试和渗透测试来主动发现安全漏洞和弱点。 你的Web网站就是你业务的窗口;如果窗户上有洞,虫子就会进来; 如果玻璃上有裂纹,那热量就会释放!在Web应用程序中的安全漏洞可以破坏组织的品牌和声誉。应用事故的根本原因可能存在于整个软件开发生命周期内的任何阶段。因此,产品开发团队需要积极应对在开发生命周期中安全漏洞所导致的,无处不在的风险和威胁。 另外,对安全工程的支持是整个开发组织中每个人的责任,所有角色需要理解安全在开发中的概念与含义。产品经理需要进行安全基础与影响培训,以理解安全对于产品的意义和把问题转化成安全需求;项目/开发/发布经理们 需要把安全工程包含到项目规划活动中;架构师和设计师需要审核现有软件的安全特性并为新的软件准备一个威胁模型以便执行风险评估,还要确保会话处理,信息保护等等的最佳实践,并被包含在 安全文档(如:设计规范,使用案例,安全测试计划)中;开发人员需要实践安全编码并确保配置是安全和合理的,同时能够支持设计规范,安全测试计划和部署配置文档;测试团队 (质量保证/安全保证人员)需要了解并有能力使用诸如AppScan这样的工具并结合适当的测试计划和策略来执行安全测试;支持团队必须了解潜在的安全事件和参与安全事件响应流程。 IBM专家建议用户采用严格的方法在整个软件生命周期内进行安全检查与跟踪,并利用先进的分析技术来发现安全漏洞和弱点。
五、自动化IT安全运维管理 持续的打补丁和传统软件的使用风险是什么? 人们坚持用旧的软件程序,因为他们熟悉它们,并且用的顺手。但是要持续管理一系列软件的更新几乎是不可能的。 如果有一个清洁的、安全的系统,管理员可以跟踪每个程序的运行并确信它是最新的,并且有一个全面的系统能为为其它系统安装的更新和补丁。 这个清洁的过程应该是常规的和嵌入系统管理中的。 您所要做的: ◆把全部的基础设施登记到一个集中目录中并且积极退休的传统组件。 ◆数据合规的端到端可见性。 ◆自动化的补丁管理,帮助确保基础架构可以抵御当前的威胁。 ◆识别机会外包常规监测功能。 IBM安全专家建议:
六、确保一个安全易恢复的网络 企业的网络安全该如何聚焦于帮助加强网络访问控制和安全恢复力? 想象一下,一家企业的IT基础设施就像一个巨型酒店有着超过65,000扇门和窗户。当公众被允许进入大堂之后,客房的访问由登记和客户钥匙来控制。 同样是真实的数据。网络安全工具为组织提供了一种方法来控制进入含有机密数据和关键系统存储的“房间”。 您所要做的: ◆优化现有投资,利用新的技术来监测和防止威胁。 ◆使用记录,监测和先进的分析解决方案组合来检测并阻止恶意网络活动。 ◆优先排序哪些是需要哪些是不需要去控制的 ◆优化网络基础设施来提高绩效和风险管理。 CIO 们经常有很多相同的担心 如何在不抑制流量,数据可用性以及确保在线时间的条件下防止威胁? 如何应对意外的数据泄漏,业务中断或者灾难? 如何防止恶意软件感染连接到内网的终端? 如何找到网络的“盲点”(IDS看不到的地方)? 过滤数据来了解什么是您最高安全威胁? 对此,CIO们需要在有效的网络风险管理同时,需要利用安全智能的强大工具和流程,从而控制网络访问并保证弹性。 1、使用最新的技术来监控和防护威胁 • 防火墙管理 • 防恶意软件网关/内容过滤 • 拒绝服务保护 • 入侵检测/防护 • 网络访问控制 • 报告系统 2、收集安全信息来获得整个网络的全局视野。通过安全智能关联和交叉引,收集已发生的网络安全事件,评估网络安全成熟度,查看内部和外部的度量与分析来驱动主动威胁缓解。 3、优先排序你所需要或者不需要的控制措施。从平常的监控活动中识别机会到任务,使用分析工具,持续的评估威胁状况,尤其是您的业务。引入外部威胁分析来补充您有的分析能力。 七、处理云和虚拟化带来的新安全要求 我该如何保护我的数据,如果我不能控制我可能使用的基础架构? 云计算承诺了巨大效率,但它可能会带来一些风险。如果一个企业迁移到云计算的IT服务,这将在近距离接触许多其他事物,当然也可能包括欺诈分子。 要在云这样的环境中茁壮成长,您必须得有工具和程序把自己与别人隔离开来以及/或者随时监测可能的威胁。 您所要做的: ◆开发了一个更好的保护自己云服务的战略。 ◆评估其他云提供商的安全控制,保护您的数据。 ◆了解您的云架构,程序,策略和实践的长处与弱点。 ◆建立云服务,获得更高水平的控制和信心。 云计算有多种形式,每种都有其自己一系列的关键安全问题。不同的云部署模式改变了我们考虑安全的方式。此外,由于客户端采用的云模型不同,因而导致客户端的安全需求各不相同。 作为最新的技术,云计算安全已成为大家最关注的话题。要获得组织的信任,云服务必须交付对于安全和隐私的期望达到或超过传统的IT环境下什么是可提供的。同样的,过去的技术转换克服了问题—PC,外包服务,互联网。 那么,您应该从何处开始开发一个有效的云安全战略?首先要理解安全需求,是否采用基于云的还是传统IT基础架构。然后开发一个云安全路线图,以识别云相关的安全风险和缓解措施。开发针对云提供商的安全需求,包括合同义务的遵守和报告。在云服务提供商所提供的安全基础之上实施分层安全控制。与此同时,从内部和外部系统收集安全数据,进行分析和识别安全威胁和趋势。 八、管理第三方安全合规 我打交道的那些人怎么会把我置于风险的境地? 假设一个外包员工临时需要访问系统。你该如何确保他有访问密码?是把密码写在记事本上?还是邮件发给他?这类即兴行为是有风险的。安全的企业文化必须超越公司的边界,并建立承包商和供应商之间最佳实践 这类似以前对承包商和供应商之间最佳实践。这类似以前对于质量控制的流程驱动。 逻辑上是类似的:安全,就像质量管理,应该被注入到整个生态系统。由于粗心导致的灾难性后果可能会震撼到整个行业。 您所要做的: ◆安全是企业并购整合的一部分。 ◆评估供应商的安全和风险的政策和做法,教育他们合规。 ◆评估行业数据保护要求和规定与流程的一致性,诸如:PCI, GLBA, HIPAA, SOX, NERC- CIP. ◆管理供应商风险生命周期。 您必须有能力管理延伸的企业风险 第三方业务合作伙伴,在提供商业价值的同时也代表了一个隐藏的合规风险: ◆频繁收购带来产品或服务线的快速增长,但是很少有人对安全实践和业务连续性的问题进行考虑。 ◆第三方的弱安全控制可能导致数据泄漏和企业品牌受损。 ◆合规不能外包,供应商的安全控制缺失会导致审计失败。 管理延伸的企业风险要求管理者在评估潜在的第三方供应商时,具备平衡风险、奖励和成本的专业知识,以及适当的行业标准知识,诸如:ISO27002, SSAE 16和SIG AUP。并掌握用于促进供应商风险管理和与企业利益相关者沟通的风险和治理工具。 九、更好的数据安全与隐私保护 我是否真的知道我正在保护的是什么? 在数据宝库的某个地方正存着公司皇冠上的明珠,也许它是科学和技术资料,也许是用于合并和收购的准备文件,或者是非公开的财务信息。 这是数据这是数据—你的知识产权你的知识产权—是你具有竞争优势是你具有竞争优势的知识库。 每家企业都应该进行库存盘点,对于关键数据应该给予特殊对待。对于每一个优先项目应关注,跟踪和加密,如果公司的生存取决于它……因为在某些情况下,它可能真的会造成这样的结果。 您所要做的: ◆识别你的机密数据丢失对企业损失的影响。 ◆评估差距,定义可以管理数据丢失风险与满足治理以及客户要求的数据保护战略。 ◆设计一个强大的可以用来保护您敏感或保密信息的数据管理体系结构息的数据管理体系结构。 ◆部署和管理领先的数据保护技术。 数据安全的驱动力是什么? ◆数据量每年增长数据量每年增长50%,而未保护的敏感数据以接近2倍的速度增加。 ◆显著的数据泄漏成本和潜在的企业品牌损害。 ◆增长的监管需求和公司政策合规要求。 ◆新的用户要求,通过移动设备对敏感或者保密的企业数据进行访问。 今天CIO们对于数据安全与隐私的主要担心是什么? ◆知道敏感或保密数据驻留在组织的哪些位置,以及它们被如何使用。 ◆制定一个满足合规要求且无阻碍企业生产效率的数据保护战略。 ◆积极处理用户数据在不断变换技术(移动设备或云)中的应用。 ◆识别第三方业务伙伴可能将组织数据置于风险之中,以及建立策略和技术来确保数据共享得到恰当的保护。 ◆无缝的整合加密,数据防泄漏和数据库保护技术以确保整体风险管理。 CIO应该遵循什么样的路径来保护数据? 首先,评估差距制定数据保护战略。了解敏感或者机密数据是如何存放和在业务流程中使用的,然后定义一项战略,在数据生命周期的各个阶段保护数据,并验证第三方策略和实践的合规性。 其次,设计一个强健的数据管理架构。在整个企业范围内建立数据分级和相应的安全基线与保护级别,实施一系列通用和标准化的安全度量,并将数据保护对准业务目标,以创建文化意识与员工责任。 再次,部署先进的数据保护技术。实施先进的工具来测试实施实践,并提供终端,网络和数据库无缝整合的全覆盖。此外,在保证合规的同时,对业务生产影响最小化。
十、管理数字身份生命周期 我们该如何确定每一个访问我们环境的人就是他自己所宣称的那个人呢?我们该如何只让他进来,而又不让别人进来? 假设有一个合同工获得了全职雇佣。6 个月后,他获得了提升,但一年后竞争对手把他挖过去了。那系统该如何对待这个人呢?首先,系统必须给他有限的访问数据的权限,然后根据他的情况打开更多的窗口,最后及时的把他的权限完全消除。 这其实是一个管理身份生命周期的问题。这是至关重要的。公司对于账号管理不善,在黑暗中操作,极有可能会受到攻击。 这种风险可以通过实施细致的身份鉴定系统来解决,管理他们的权限,当他们离开时尽快撤销他们的权限。 您所要做的: ◆开发一个优化的身份和访问管理策略。 ◆实施标准,基于控制机制的策略以及更智能的监控。 ◆集中和自动化管理的职责分离。 ◆采用桌面和Web单点登录解决方案。 今天,企业仍在为如何有效管理用户身份和访问过程而奋斗。CIO们认识到,身份管理程序的不足会导致原本安全的系统存在风险。如何管理用户和他们在整个生命周期中的访问权限,以及过期账号和角色冲突?如何证明符合监管要求以及监控和纠正违反安全的行为?如何简化用户访问受保护的资源,同时保持强认证?如何在不牺牲必要控制措施的同时,降低身份管理和访问的成本? 为了应对这些挑战,CIO 们应该利用业务驱动控制来开发优化的身份和访问管理策略。要贯穿整个身份和访问生命周期的,标准化的、基于策略的控制机制和智能监控技术确保成功追踪和报告合规。
| 
窥视卡
雷达卡
发表于 2016-3-14 06:17:10
收藏
转播
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜