前段時間，谷歌人工智能AlphaGo與韓國棋手李世石人機(jī)大戰(zhàn)的消息席卷全球，有專家認(rèn)為，到了本世紀(jì)末，我們所熟悉的職業(yè)中，百分之七十可能被自動化技術(shù)取代。但CISO這個角色似乎并不包括在其中，這些全新的業(yè)務(wù)模式和全新的技術(shù)為企業(yè)安全管理帶來了更多的挑戰(zhàn)，而CISO的職責(zé)正是保障這些業(yè)務(wù)的安全性。當(dāng)然，這個任務(wù)似乎越來越難以完成。

[[165715]]

別擔(dān)心，或許我們可以從一些在企業(yè)安全有著豐富實踐中，獲得一些經(jīng)驗，憑借這些實踐經(jīng)驗，最忙的CISO也可以睡上一個安穩(wěn)的覺。在IBM舉辦的企業(yè)風(fēng)險管理實踐大講堂中，筆者便找到了一些實踐經(jīng)驗，與君共享。

一、建立具有風(fēng)險意識的文化與管理體系

首先作為CISO應(yīng)該從一個以戰(zhàn)略和企業(yè)視野為驅(qū)動的領(lǐng)導(dǎo)角度，將安全任務(wù)從購買IT產(chǎn)品拓展到跨越整個企業(yè)的IT風(fēng)險管理，并設(shè)計一個結(jié)構(gòu)化的治理模型，可以確保積極主動的風(fēng)險識別與管理。通過交流與溝通以提升對潛在風(fēng)險的意識。此外，還需建立一個以策略、衡量標(biāo)準(zhǔn)和合理工具為支撐的管理系統(tǒng)。

具體而言，需要構(gòu)建風(fēng)險意識管理系統(tǒng)包括建立風(fēng)險管理程序來識別和優(yōu)先排序業(yè)務(wù)威脅和風(fēng)險; 定義治理方法來驅(qū)動決定責(zé)任和義務(wù);建立一項風(fēng)險意識戰(zhàn)略和企業(yè)架構(gòu);為所需的技能與能力平衡人力資源。

同時，用溝通來驅(qū)動風(fēng)險意識文化包括理解并檢驗當(dāng)前企業(yè)程序的有效性; 與員工、客戶與供應(yīng)商展望新的風(fēng)險意識文化;定義風(fēng)險意識文化程序(與業(yè)務(wù)擁有者和流程擁有者一起);建立一個培訓(xùn)與意識程序。

此外，可測量和成熟的管理系統(tǒng)也是必不可少，建立測量程序 (企業(yè)文化，流程與技術(shù));收集數(shù)據(jù)和部署風(fēng)險報告工具以方便測量，風(fēng)險管理，溝通和及時的決策。并創(chuàng)建一個安全意識計劃，用來考量由企業(yè)風(fēng)險管理計劃和當(dāng)前事件驅(qū)動的安全意識培訓(xùn)。

二、建立智能的安全運(yùn)維和快速威脅響應(yīng)

你是否想過，當(dāng)有兩個類似的安全事件發(fā)生，一個發(fā)生在中國 另一個發(fā)生在美國，它們有可能是關(guān)聯(lián)的，但是如果沒有智能分析幫助關(guān)聯(lián)起它們，這么重要的一個模式可能不會被關(guān)注到。

作為CISO可以建立一支熟練的事件管理團(tuán)隊，具備足夠的資源來應(yīng)對取證要求，并開發(fā)一套統(tǒng)一的事件處理策略和流程，同時利用一致的工具和安全智能進(jìn)行事件管理和調(diào)查取證。當(dāng)然，開發(fā)安全信息事件管理能力來捕捉和跟蹤所有安全事件也是必不可少的。

三、社區(qū)網(wǎng)絡(luò)和移動辦公的安全協(xié)作

在全民皆移動的BYOD時代，企業(yè)移動也面臨著諸多安全挑戰(zhàn)，CISO也忙于將個人隱私和企業(yè)數(shù)據(jù)的安全隔離，實現(xiàn)身份管理、訪問控制和授權(quán)，從而提供企業(yè)應(yīng)用和數(shù)據(jù)的安全訪問連接。對于開發(fā)的移動應(yīng)用也要進(jìn)行必要的漏洞測試，保證應(yīng)用的安全。

需要注意的是，企業(yè)需避免員工在未經(jīng)許可和無安全控制的情況下使用個人設(shè)備，需要支持各種私人和企業(yè)擁有設(shè)備且同時保持企業(yè)安全策略的完整性。

此外，針對智能終端，要專注終端風(fēng)險，提供用戶所需的靈活性，創(chuàng)新性。對所有的設(shè)備進(jìn)行注冊，實現(xiàn)終端的可視性，并能集中強(qiáng)制實施安全策略;實施安全工具諸如防火墻、防病毒、入侵防護(hù)來阻止通過終端漏洞的惡意攻擊;考慮數(shù)據(jù)分離和加密技術(shù)來防止數(shù)據(jù)丟失。

四、設(shè)計開發(fā)“安全”的產(chǎn)品

不可否認(rèn)，你的Web網(wǎng)站就是你業(yè)務(wù)的窗口。、，如果窗戶上有洞，蟲子就會進(jìn)來，如果玻璃上有裂紋，那熱量就會釋放!在Web應(yīng)用程序中的安全漏洞可以破壞組織的品牌和聲譽(yù)。應(yīng)用事故的根本原因可能存在于整個軟件開發(fā)生命周期內(nèi)的任何階段。因此，產(chǎn)品開發(fā)團(tuán)隊需要積極應(yīng)對在開發(fā)生命周期中安全漏洞所導(dǎo)致的，無處不在的風(fēng)險和威脅。

IBM專家建議CISO可以采用嚴(yán)格的方法在整個軟件生命周期內(nèi)進(jìn)行安全檢查與跟蹤，并利用先進(jìn)的分析技術(shù)來發(fā)現(xiàn)安全漏洞和弱點。

五、自動化IT安全運(yùn)維管理

之所以人們堅持用舊的軟件程序，是因為他們熟悉它們，并且用的順手，但是要持續(xù)管理一系列軟件的更新幾乎是不可能的。如果有一個清潔的、安全的系統(tǒng)，管理員可以跟蹤每個程序的運(yùn)行并確信它是最新的，并且有一個全面的系統(tǒng)能為為其它系統(tǒng)安裝的更新和補(bǔ)丁。當(dāng)然，這個清潔的過程也應(yīng)該是常規(guī)的和嵌入系統(tǒng)管理中的。

企業(yè)CISO可以把全部的基礎(chǔ)設(shè)施登記到一個集中目錄中并且積極退休的傳統(tǒng)組件;數(shù)據(jù)合規(guī)的端到端可見性;自動化的補(bǔ)丁管理，幫助確保基礎(chǔ)架構(gòu)可以抵御當(dāng)前的威脅;識別機(jī)會外包常規(guī)監(jiān)測功能。

六、確保一個安全易恢復(fù)的網(wǎng)絡(luò)

想象一下，一家企業(yè)的IT基礎(chǔ)設(shè)施就像一個巨型酒店有著超過65,000扇門和窗戶，當(dāng)公眾被允許進(jìn)入大堂之后，客房的訪問由登記和客戶鑰匙來控制。而網(wǎng)絡(luò)安全工具，正是為組織提供了一種方法來控制進(jìn)入含有機(jī)密數(shù)據(jù)和關(guān)鍵系統(tǒng)存儲的“房間”。

CISO需要注意的是，在有效的網(wǎng)絡(luò)風(fēng)險管理同時，需要利用安全智能的強(qiáng)大工具和流程，從而控制網(wǎng)絡(luò)訪問并保證彈性。 1、使用最新的技術(shù)來監(jiān)控和防護(hù)威脅 2、收集安全信息來獲得整個網(wǎng)絡(luò)的全局視野。通過安全智能關(guān)聯(lián)和交叉引，收集已發(fā)生的網(wǎng)絡(luò)安全事件，評估網(wǎng)絡(luò)安全成熟度，查看內(nèi)部和外部的度量與分析來驅(qū)動主動威脅緩解。 3、優(yōu)先排序你所需要或者不需要的控制措施。從平常的監(jiān)控活動中識別機(jī)會到任務(wù)，使用分析工具，持續(xù)的評估威脅狀況，尤其是您的業(yè)務(wù)。引入外部威脅分析來補(bǔ)充您有的分析能力。

七、處理云和虛擬化帶來的新安全要求

時至今日，云計算已經(jīng)到了高度普及的時代，但它可能會帶來一些風(fēng)險。如果一個企業(yè)遷移到云計算的IT服務(wù)，這將在近距離接觸許多其他事物，當(dāng)然也可能包括欺詐分子，要在云這樣的環(huán)境中茁壯成長，CISO必須得有工具和程序把自己與別人隔離開來以及/或者隨時監(jiān)測可能的威脅。

應(yīng)該從何處開始開發(fā)一個有效的云安全戰(zhàn)略呢?IBM專家建議，首先要理解安全需求，是否采用基于云的還是傳統(tǒng)IT基礎(chǔ)架構(gòu)。然后開發(fā)一個云安全路線圖，以識別云相關(guān)的安全風(fēng)險和緩解措施。開發(fā)針對云提供商的安全需求，包括合同義務(wù)的遵守和報告。在云服務(wù)提供商所提供的安全基礎(chǔ)之上實施分層安全控制。與此同時，從內(nèi)部和外部系統(tǒng)收集安全數(shù)據(jù)，進(jìn)行分析和識別安全威脅和趨勢。

八、管理第三方安全合規(guī)

相信很多人都需要遇到這樣的情況，一個外包員工臨時需要訪問系統(tǒng)，你該如何確保他有訪問密碼?是把密碼寫在記事本上?還是郵件發(fā)給他?要知道，這類即興行為是有風(fēng)險的。安全的企業(yè)文化必須超越公司的邊界，并建立承包商和供應(yīng)商之間最佳實踐這類似以前對承包商和供應(yīng)商之間最佳實踐。這類似以前對于質(zhì)量控制的流程驅(qū)動。 邏輯上是類似的：安全，就像質(zhì)量管理，應(yīng)該被注入到整個生態(tài)系統(tǒng)。由于粗心導(dǎo)致的災(zāi)難性后果可能會震撼到整個行業(yè)。

CISO所要做的是，將安全作為企業(yè)并購整合的一部分;評估供應(yīng)商的安全和風(fēng)險的政策和做法，教育他們合規(guī);評估行業(yè)數(shù)據(jù)保護(hù)要求和規(guī)定與流程的一致性，諸如：PCI, GLBA, HIPAA, SOX, NERC- CIP;管理供應(yīng)商風(fēng)險生命周期。

除此之外，還必須有能力管理延伸的企業(yè)風(fēng)險，因為第三方業(yè)務(wù)合作伙伴，在提供商業(yè)價值的同時也代表了一個隱藏的合規(guī)風(fēng)險。在評估潛在的第三方供應(yīng)商時，是否具備平衡風(fēng)險、獎勵和成本的專業(yè)知識，以及適當(dāng)?shù)男袠I(yè)標(biāo)準(zhǔn)知識，諸如：ISO27002, SSAE 16和SIG AUP。并掌握用于促進(jìn)供應(yīng)商風(fēng)險管理和與企業(yè)利益相關(guān)者溝通的風(fēng)險和治理工具。

九、更好的數(shù)據(jù)安全與隱私保護(hù)

數(shù)據(jù)安全與隱私保護(hù)是CISO工作的重中之重，應(yīng)該遵循什么樣的路徑來保護(hù)數(shù)據(jù)呢?IBM專家建議到，首先，評估差距制定數(shù)據(jù)保護(hù)戰(zhàn)略。了解敏感或者機(jī)密數(shù)據(jù)是如何存放和在業(yè)務(wù)流程中使用的，然后定義一項戰(zhàn)略，在數(shù)據(jù)生命周期的各個階段保護(hù)數(shù)據(jù)，并驗證第三方策略和實踐的合規(guī)性。其次，設(shè)計一個強(qiáng)健的數(shù)據(jù)管理架構(gòu)。在整個企業(yè)范圍內(nèi)建立數(shù)據(jù)分級和相應(yīng)的安全基線與保護(hù)級別，實施一系列通用和標(biāo)準(zhǔn)化的安全度量，并將數(shù)據(jù)保護(hù)對準(zhǔn)業(yè)務(wù)目標(biāo)，以創(chuàng)建文化意識與員工責(zé)任。再次，部署先進(jìn)的數(shù)據(jù)保護(hù)技術(shù)。實施先進(jìn)的工具來測試實施實踐，并提供終端，網(wǎng)絡(luò)和數(shù)據(jù)庫無縫整合的全覆蓋。此外，在保證合規(guī)的同時，對業(yè)務(wù)生產(chǎn)影響最小化。

十、管理數(shù)字身份生命周期

最后還有一個容易忽略的地方，假設(shè)有一個合同工獲得了全職雇傭，6 個月后，他獲得了提升，但一年后競爭對手把他挖過去了，那系統(tǒng)該如何對待這個人呢?首先，系統(tǒng)必須給他有限的訪問數(shù)據(jù)的權(quán)限，然后根據(jù)他的情況打開更多的窗口，最后及時的把他的權(quán)限完全消除。這其實是一個管理身份生命周期的問題。這是至關(guān)重要的，公司對于賬號管理不善，在黑暗中操作，極有可能會受到攻擊。

這看似很簡單，但也需要CISO 利用業(yè)務(wù)驅(qū)動控制來開發(fā)優(yōu)化的身份和訪問管理策略，要貫穿整個身份和訪問生命周期的，標(biāo)準(zhǔn)化的、基于策略的控制機(jī)制和智能監(jiān)控技術(shù)確保成功追蹤和報告合規(guī)。

這十項安全實踐經(jīng)驗在構(gòu)建企業(yè)安全平臺方面已經(jīng)很全面了，掌握了這些，相信作為CISO會從緊張“救火員”轉(zhuǎn)變?yōu)楦哒頍o憂的新一代安全領(lǐng)導(dǎo)者。當(dāng)然，如果有更好的實踐經(jīng)驗，也歡迎和我們分享。