企业安全风险管理:以人为中心

CGI集团高级安全顾问Terri Curran表示,针对第三方的风险管理指标(例如可访问公司信息的供应商数量)通常会让董事会“大开眼界”。

信息安全指标应该专注在三个方面:风险管理、合规性和创新性。但Curran表示,企业常犯的错误是在安全指标计划的开始试图做太多工作。

Curran已经在信息安全领域40年,曾在Gillette公司担任CISO达19年,Bose公司达7年。2007年至2014年,她曾任职于计算机安全行业(CSI)顾问委员会(在2011年,CSI被UBM收购)。TechTarget记者采访了Curran,一同探讨如何让指标服务于更广泛的受众。

让我们来谈谈指标,这是计算机安全领域最无聊的话题,排在配置管理后面。每次这个话题出现时,我经常会听到这样的对话:

“你应该保持指标。”

“我应该保持哪些指标?”

“这取决于你的企业。”

“没有‘前20名’指标列表吗?”

在理论和实际效用之间你如何做出关联?当有人询问前20名指标列表时,对此你如何回应?

Terri Curran:我喜欢谈论信息安全指标:我绝对相信围绕指标的讨论可以迸发出新的想法和创新。同时,我也认为指标很无聊,因为很多指标与现在的高管董事会无关。我曾参加董事会,只要CISO的指标图闪现在屏幕,大家就会开始翻白眼,并偷偷查看电子邮件。

不过不要误会我的意思:指标依旧很重要。但与安全本身一样,指标必须与时俱进。是否有前20名列表?当然有,可以针对任何企业。

从我的经验来看,最有用的指标通常是可量化花在事物上时间的指标。我不知道这是否是因为这种指标涉及某些业务流程分析,或者只是因为时间指标往往是对努力和花费的有用的衡量标准。你对此有何经验?

Curran:根据我多年有关指标的失败和成功的经验,我认为最有用的指标应该可以专注风险管理、合规性和创新性。在这些指标中,有些指标完全是以时间为基准,有些则不是(特别是在‘创新’类别)。我认为企业需要综合基于时间、基于结果和前瞻性指标来展示信息安全态势,以及避免在董事会让别人翻白眼。

在任何这三类指标中,旧的SMART(具体、可衡量、可操作、相关、及时)基准可非常有效地启动指标定义过程。除了这些特点,指标必须易于管理或追踪,它们需要是多用途和多层面的。

并且,应该由进行指标工作的人来报告指标信息。如果IT或数据中心人员在进行所有的恶意软件修复工作,则应该由他们报告这方面的信息,以表明其在安全项目中的作用。CISO不应该要求他们提供每月情况报告放入到她的报告中,而应让IT人员为其辛勤工作邀功,让CISO创造新的指标。在年底,IT领导者可提供年度总结,包含在CISO的年度安全报告中。其他业务部门可以通过其信息安全相关的指标做同样的事情,以说明其对信息安全计划提供的支持和努力。

当然,网络钓鱼和恶意软件尝试次数、部署的补丁数量等所有基于技术的指标都是很好的指标,但我认为风险指标应该涉及更广的范围。例如,好的风险管理指标可能是可访问企业信息的第三方数量、执行的第三方风险评估的数量以及妥善保护信息的第三方数量。很多公司仍然没有考虑将第三方风险评估作为指标产品组合的一部分,并且,可访问企业信息的供应商的数量似乎总是让高管惊讶。

另一个风险管理指标可能是为遵守法律、法规和规章(网络研讨会、倡议团队或法律文件的更新)采取的积极活动的数量。在这个领域中我最喜欢的指标是外联活动。如果你定期与本地执法以及安全官员接触,这将是很好的物理、安全、风险管理和创新指标。在这里我想说的是,指标可以是以人为中心的,而不是以技术为中心。

合规指标主要基于外部合同和监管合规要求,这非常简单。PCI DSS、NIST 800-53,很多要求都提供了很好的指标作为执行的一部分。衡量内部对信息政策的合规性更简单,因为我们有以技术为中心的数据丢失保护等监控技术。我很感兴趣的是追踪计划和进行中的外部审计的数量,以及支持它们所需要的时间和资源。这是很老的指标,但仍然很有效且有价值。

最近我最喜欢的是创新指标。物理和信息安全计划都需要发展,我们可以利用指标来生成和说明前瞻性活动和理念。

并非所有创新想法将成为现实,但这本身就是一个指标,不是吗?例如,安全团队每个月可以开展创新讨论,从专业和个人角度提出可行的想法。我曾看到在创新讨论中产生出很好的想法,从而带来更好的指标。下面是几个例子:企业可以开展“删除日”,员工可以带来文件进行安全处置,这可以构建良好的安全意识、对参与的员工数量以及删除的总数(良好的企业社会责任)产生指标;或者提供免费恶意软件的培训课程并跟踪员工参与情况。我听说有传言称,有的企业创建安全意识演示让员工带回家与他们的孩子分享。我也喜欢展示“讨论安全问题的业务部门会议数量”。对于创新指标,最好的事情是,如果在一个月产生10个创新想法,而只有三个变成现实,那又怎样?毕竟你仍然在展现创新性。

在我看来,很多企业正越来越多地受到恶意软件和基本网络钓鱼攻击。当我看到这种情况时,我的假设通常是,他们并没有真正了解这对他们的严重影响,因为他们需要指标。为了向高管解释恶意软件和最终用户计算做法对企业的影响,你会衡量哪些事情?

Curran:有些企业喜欢进行社会工程和网络钓鱼测试,这些都是衡量员工意识的很好指标,并且这也为培训计划带来很好的信息。我认为我们需要向管理层更好地展现其企业与同行业其他企业的比较。指标可以用来显示成熟度差距(或者良好的态势),我希望有外部月度报告或摘要可向高管展示(按照行业或子行业)在特定月份恶意软件和网络钓鱼攻击的报告数量,以及企业如何对这些报告作出响应。这将是巨大的胜利,如果你知道这样的资源,请让我知道!

我曾对风险管理不屑一顾,因为这通常是“无用输入+无用输出”。但当我开始深入研究指标时,我意识到你实际利用指标的唯一途径是开始衡量事物。你是从哪里开始的?如果你从头开始构建指标计划,第一步是什么?

Curran:我为指标发展制定了一个基本的工作表,这或许可以解释我确定“增值”指标的方法。这也可用作一种资源规划工具或者作为RACI(谁负责、谁批准、咨询谁和告诉谁)模式的输入信息。

指标本身需要可测量,或者定性或定量(百分比或其他数值)。这个工作表中最重要的部分是:什么问题得到回答?如果没有感兴趣的问题,那么,指标并不值得追踪。数据来源可以是使用的工具或者发出的调查;最后两列非常简单。

最先开始的是合规性要求,然后我会处理风险管理指标,最后是创新指标。这是可以逐渐构建的成熟度曲线。不要忘记对指标进行衡量:我们上个月创建并报告了五个新的指标。

人们在开始指标计划时犯的最大错误是什么,以及应该如何避免呢?

Curran:这个我有些惭愧,因为我对信息指标探索深了,并且试图寻找完整的产品组合,尝试一次添加太多条目。我了解到,最好的指标应该可以向企业以及外部监管者和审计员展现信息安全计划的价值。在开始之前就试图完成太多指标本身就是失败的。

我们谈到了前20名,我想要问你:你目前最喜欢什么?

Curran:我先谈谈每个类别中的五个指标如何?其中有些我们已经谈到了,如果我要保护我公司的信息和物理资产,我会考虑以下指标:

风险管理指标

1. 执行的第三方风险评估

2. 内部和外部审计结果数量(当前状态、在过程中、完成等)

3. 高级别数据泄露防御统计(这也可被认为是合规指标)

4. 基于分析师、供应商报告与同类行业的基准

5. 可访问受限制、机密或管制信息的供应商数量(以及趋势)

合规指标

1. 部署的修复程序以及所有常见的IT相关话题

2. 请求和授予的政策特例

3. 合规活动安排(可能增加)

4. 为安全或隐私顾虑审查的合同数量(也可被视为风险管理)

5. 为应对不断变化进行的法规或合同研究时间

创新指标

1. 产生的新想法(简短的解释)

2. 为发展批准的想法

3. 开展外联会议(业务部门)

4. 开展外联会议(外部机构、监管部门、利益团体;也可列为风险管理类别)

5. 个人和职业发展拓展(认证指导、新的认证)

我经常听到计算机安全人员称安全人员不知道如何与高管或业务部门交谈,你怎么看?

Curran:这是很好的问题。我的第一反应是:不要说话,而是倾听。我知道,这听起来很明显,但我们通常都没有认真听业务部门同事的意见。

对于这个问题,安全人员应该少谈技术,更多地谈论以人为中心的风险管理。请记住,人们想要其企业获得成功和确保安全,并且他们希望感觉他们是这一工作的一部分。安全部门应该引出他们的保护本能,而不是危言耸听。通过展示对业务过程如何与安全整合的真诚的兴趣,来提高他们的信心。这些都是让谈话继续下去以及建立他们信任的很好的方法。

作者:Marcus J. Ranum 

来源:51CTO

时间: 2024-08-30 02:24:55

企业安全风险管理:以人为中心的相关文章

设计师需要的IDEO以人为中心的设计工具包

DEO对产品设计的几点概括:一 .设计不等于发明二 .产品不等于商品,所有好的设计都必须以经济层面与心理层面作为主要衡量标准.三 .必须组成多变性的创意团队,需要各类专才发挥异花授粉的功能.       需要沟通能力强的团队经理,需要设计者有创新的悟性. 浏览订阅的时候意外发现IEDO的工具包,于是决定好好研究一下. 如果你有以下几个方面的需要:寻找创新的方法?需要进入新的领域?想将技术本地化?需要更好的了解需求?寻找监测和评价的新方法? 那么你可以从IEDO的HCD工具包里找到答案. 这个工具

智能家居应“以人为中心”

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 上个世纪60年代,前辈们希望家家都能用上电:80年代的人们憧憬"四个现代化",希望户户都能"楼上楼下,电灯电话":进入新世纪,国人进入了新通讯时代,通讯费用逐年下降,手机渐渐大众化,中小城市人手一部手机的情况大概发生在本世纪的第二个年代初期.2000年以后的"现代化"进程基本都是由通

打造银行3.0时代,以人为中心的极致体验

ZD至顶网CIO与应用频道 12月01日 北京消息: 银行3.0时代的业务诉求 <Bank3.0>作者Brett King曾预言,"未来的银行将不再是一个地方,而是一种行为".在经历了分别以实体网点.网银为中心的1.0和2.0时代之后,3.0时代的银行将构成一个无处不在的服务环境,以人为中心提供不依赖物理设施的金融服务.届时,消费者将可享有一种更加实时(Real-time).按需(On-demand).全在线(All-online).自助服务 (DIY)和社交化(Socia

金融危机驱动GRC市场企业进入风险管理时代

3年前,CIO们称自己为企业IT的"消防员",每天花费大量时间"救火",3年后的今天,CIO们仍然还需要"救火",但不同的是CIO开始了解到关注潜在的火情,预防其成为"霹雳火"或者"森林大火"的工作显得更为重要. Gartner认为企业存在4种风险即:企业联系(公司与供应商.合作伙伴.消费者之间的联系愈发紧密,这不仅使企业对他们的依赖度越来越高,而且也带来了企业信息被窃取或滥用的可能).合规性要求.消费者要

税务总局试行大企业税务风险管理

记者19日从国家税务总局获悉,为了加强对大企业的事前税务管理,提高纳税服务水平,引导大企业合理控制税务风险,国家税务总局日前正式发布<大企业税务风险管理指引(试行)>(简称<指引>). 企业税务风险主要包括两种表现形式,一种是企业的纳税行为不符合税收法律法规的规定,应纳税而未纳税.少纳税,从而面临补税.罚款.加收 滞纳金以及刑罚处罚:另一种是企业经营行为适用税法不准确,没有用足有关优惠政策,多缴纳了税款. 据介绍,该<指引>就大企业税务风险管理组织建设.风险识别和评估.

提升企业运营效率 华为数据中心云计算系统

[天极网服务器频道9月2日消息]企业的快速发展对IT系统提出了更多的要求,企业对数据共享.资源节约.服务模式的需求发生了巨大转变.在烟囱型架构的企业传统IT系统中,资源使用率低,设备更新换代频率高,部署在专用硬件的各种应用增多,导致大量的IT资源浪费,企业IT运营成本居高不下;同时企业每上一个新的IT应用,需要采购新的硬件设备,从立项到部署,再到业务上线,平均花费3-6个月的时间,业务上线时间长,影响企业的新业务运营和整体效益. 因此IT部门会逐渐采用云计算来增加数据共享,提升资源利用率,减少运

企业建立高效IDC数据中心的10大关键要素

由于云计算和虚拟化等新技术的到来,数据中心的演进可能会把它自身变成一个非常不同的环境.然而,任何运作平稳且成功的数据中心总是需要一些基本要素的.不管数据中心的规模是像一个立式式衣柜还是一架飞机,小编为你解答10大关键要素!   1.环境控制 标准化.可预测的环境是任何高质量数据中心的基石.这不仅仅是关乎让设备冷却.维持适当的湿度(根据维基百科,推荐的温度范围是61-75华氏度/16-24摄氏度,40%-55%的湿度),你还需要考虑灭火.空气气流以及功率分配等因素.我曾经工作过的一家公司为了确保数

天润融通吴强:电商企业的托管型呼叫中心服务

一个电子商务企业要想成功,呼叫中心是必不可少的组件,它甚至会发挥至关重要的作用,说呼叫中心已经成为众多电商企业的"生命线"也丝毫不夸张.但许多企业并没有能力耗费巨资和人力.物力自建呼叫中心,这就给了呼叫中心托管市场很大的空间.天润融通就是于2006年首创了托管型呼叫中心,近年来业务发展得如火如荼,为一大批中小电商企业带去了巨大帮助. 应时而生 2003年时供职于一家国企的吴强,曾参与了公司呼叫中心系统建设的项目,并担任项目主管经理.那是一个全国性的客服中心项目,设置了320个坐席,规模

五步开启企业IT风险管理大门

IT风险管理绝对能够引起高管的重视.由于我们的经济开始越来越依赖于互联网和IT系统,使这些系统中存在的风险尤为瞩目.但是IT风险管理涉及多方人员:首席信息官,首席信息安全官,企业风险管理团队,合规和监管人员以及内部和外部审计员等.以下五个步骤将助你开启IT风险管理大门: 第一步:选择正确的语言 通常有这样两种首席信息官:基础设施管理型的和思考家型的,一般后者能够成功开展IT风险管理工作,因为他们能够选择正确的语言与高管进行谈判,他们更多地会从对企业造成的损失来说,而不是技术名词. 最好不要谈论"