近期,董事会应该聘用更年轻的总监来处理网络安全“问题”的呼声渐起。与此同时,欧盟在上周也揭开了之前提出的《网络与信息安全指令》(NISD)的面纱。
大家对安全的期待越来越高,建立起许多框架、颁布了大大小小的立法和规章制度,但有什么证据可以显示这些东西起到了相应的作用呢?
在汽车制造业,随着安全措施的引入,路上死亡人数逐年下降。然而,随着缓解已知威胁的控制措施的不断引入,我们却没看到相应的网络攻击、数据泄露的减少。
用医学类比来为这篇文章打个基调吧。
在医疗界,“实习医生”普遍存在着一个困境。他们在应对病人的知识和经验上都还很初级,得不到患者的信任,因而很难在缺乏经验的病症上增长治疗经验。
我们再来看看安全。
理论上而言,难道我们想要那些在董事会会议室做出重要决定的人,是一些不具备深度信息安全相关知识和丰富经验的人吗?如果是这样,他们又如何能担负起解决公司核心风险管理挑战的重任?
以下十二步可以帮助“实习医生”更好的给出更适合的“治疗方案”:
- 承认无能为力
犯罪分子资金更雄厚,研究力度更深,资源更丰富。
- 找到希望
这种情况下,公司安全负责人应被适当授权以恢复理智和减少无力感。
- 着手改变
真正着手去做一些改变,不要持续抱怨或恐惧,这种态度不具备任何建设性。
- 盘点
对企业的资产来一场彻底而大胆的盘存吧。
- 公开资产清单
坦承自己错误的。例如,相信增加更多技术可以解决现有技术引发的问题,或者没及时为已知漏洞打上补丁。
- 大扫除
让首席信息安全官清除掉我们基础设施和组织行为中的所有缺陷,从并购收购,到购买和人员管理环节。
- 向CISO请教
请求CISO的帮助,以企业清除系统弱点。那些具体的执行选项都在CISO脑子里。
- 创建ISMS
信息安全管理系统(ISMS)将有效包含为达到需要的公司信息防护水平而必须去做的“待办事项列表”。在12步计划里,这一阶段就是列出需要做改进的人员名单。这需要一些花费一些思量,可以或应该包含内部审计。
- 反醒
多年以来,内部审计一直在发现问题并引起董事层注意,但均被置之不理,到了该道歉反醒的时候了。
- 还是清点资产
复核,复核,复核。重要的事说三遍。当你新发布一个公司通讯录的时候,总有人指出你漏掉的人。包括已经离职的人,刚加入的人,或者岗位变动的人。安全态势总是在变,更何况还有所谓的“影子IT”。
总有些众所周知的事情是需要持续并快速解决的。这包括信息安全持续性监测计划(ISCM)。我们在资产清单里发现的多种系统会源源不断地生产出各种日志。这些全都需要审查,而且,要将我们常听到的“可行情报”应用到它们身上。
- 沉思
深度思考对改善我们的清醒认知、我们对风险态势的认知和改进我们付诸实践的技能起着至关重要的作用。
- 帮助他人
要与他人分享学习经验,要与企业的供应商、提供商、厂商、家人、朋友和更广阔的社交圈子一起分享。它将改善并提高所有资产设备的互联性。
不要再为自己没遵医嘱采取预防措施而患病之后去责怪医生,多想想怎么解决很多已知风险吧。有很多已知框架可以帮我们改善网络安全状况,忽略它们,后果只能你自己承担。
本文转自d1net(转载)