【51CTO.com現(xiàn)場(chǎng)報(bào)道】2016年8月5日，以“安全可控·御未來”為主題的2016年首屆C3安全峰會(huì)暨中國(guó)云安全峰會(huì)在成都世紀(jì)城會(huì)展中心盛大開幕。中央情報(bào)局前首席技術(shù)官Bob Flores先生出席主論壇并進(jìn)行了演講。

[[169539]]

Bob的演講主題”企業(yè)管理層應(yīng)該關(guān)注的9個(gè)安全關(guān)鍵問題“，以下是51CTO記者美潔現(xiàn)場(chǎng)進(jìn)行的快速整理筆記。

關(guān)鍵問題一：我們的業(yè)務(wù)、品牌和盈利面臨哪些網(wǎng)絡(luò)威脅?

網(wǎng)絡(luò)風(fēng)險(xiǎn)是否已經(jīng)納入我們當(dāng)前的風(fēng)險(xiǎn)管理框架?

這種風(fēng)險(xiǎn)得到了老板們的認(rèn)可。他們會(huì)不會(huì)問：“這不是CSO要考慮的嗎?我們要考慮商業(yè)的問題。“

我們采用什么樣的框架?是COBIT5、ISO27001還是NIST?

安全框架應(yīng)該和商業(yè)框架一致。

關(guān)鍵問題二：我們是否擁有網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)?

不知道中國(guó)怎么樣，但美國(guó)已經(jīng)非常重視對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行保險(xiǎn)。、

我們必須知道哪些方面已經(jīng)納入、或者不能納入網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)的范圍。

我們要問自己：什么是我們最重要的資產(chǎn)?這一點(diǎn)是否已經(jīng)體現(xiàn)在我們的網(wǎng)絡(luò)風(fēng)險(xiǎn)計(jì)劃中。————我問過很多人，50個(gè)人往往有50個(gè)答案。換言之，他們對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)了解的程度是遠(yuǎn)遠(yuǎn)不夠的。

關(guān)鍵問題三：我們是否了解供應(yīng)商和服務(wù)提供商帶來的風(fēng)險(xiǎn)?

你是否了解合作伙伴的安全控制有多嚴(yán)格?他們是從何處鏈接我們的網(wǎng)絡(luò)的?他們是否有權(quán)存取我們的數(shù)據(jù)?如果他們出現(xiàn)了安全違規(guī)，我們是否能收到通知?我們的合同中對(duì)此是否有規(guī)定?

前不久，我們隊(duì)一個(gè)全球金融組織的安全情況進(jìn)行了實(shí)際評(píng)估。他們使用第三方公司外包一些業(yè)務(wù)——他們雇用的都是全球頂尖企業(yè)，這個(gè)第三方公司處在另外一個(gè)國(guó)家，他們把數(shù)據(jù)訪問權(quán)交給了這個(gè)第三方公司。事的檢測(cè)發(fā)現(xiàn)，這個(gè)第三方公司并沒有做出任何惡意行為，但這個(gè)國(guó)家的其他組織通過一些手段拿到了這些數(shù)據(jù)。

關(guān)鍵問題四：如何應(yīng)對(duì)安全違規(guī)?

如果你是一個(gè)企業(yè)管理者，你是否反思過，一旦出現(xiàn)安全問題，我們是否有事件響應(yīng)(IR)小組?誰(shuí)應(yīng)該是小組成員?每個(gè)人的職責(zé)是什么?

此外，如果出現(xiàn)了安全事件，我們應(yīng)該在何時(shí)、用什么樣的方式告知執(zhí)法單位，還有外部供應(yīng)商、客戶，當(dāng)然還有媒體界。

在回答這些問題的時(shí)候，不同類型的機(jī)構(gòu)和組織可能答案不同。但無(wú)論什么單位，都應(yīng)該提前準(zhǔn)備好這些策略和行動(dòng)計(jì)劃，這樣一旦發(fā)生問題，就可以有序地應(yīng)對(duì)。

此外，我們應(yīng)該多久演練一次計(jì)劃?如果只是計(jì)劃卻不進(jìn)行演練，那完全無(wú)法達(dá)到效果。我的建議是，至少每年都要進(jìn)行一場(chǎng)演練。一年超過2次其實(shí)沒有必要。

關(guān)鍵問題五：我們是否了解網(wǎng)絡(luò)風(fēng)險(xiǎn)管理和合規(guī)性之間的差異?

很多機(jī)構(gòu)和組織都有合規(guī)性的要求。他們有內(nèi)部或者外部的團(tuán)隊(duì)來評(píng)估他們的合規(guī)性————他們一般稱為審計(jì)員。

但是，如果審計(jì)人員認(rèn)為我們合格，我們就真的合格了嗎?這是否意味著我們已經(jīng)安全了?當(dāng)然不是，合規(guī)和安全完全是兩回事。

關(guān)鍵問題六：?jiǎn)T工是否了解了他們?cè)诰W(wǎng)絡(luò)風(fēng)險(xiǎn)管理中的作用?

員工是否定期接受了網(wǎng)絡(luò)風(fēng)險(xiǎn)培訓(xùn)?他們是否知道什么是網(wǎng)絡(luò)釣魚?遇到安全問題時(shí)，員工是否知道該通知誰(shuí)?平均來說，11%的員工在收到網(wǎng)絡(luò)釣魚電子郵件時(shí)會(huì)中招。

那么，我們有沒有什么方式或者軟件來幫助員工呢?無(wú)論是CIO/CSO還是其他管理者，我們都應(yīng)該及時(shí)通過網(wǎng)絡(luò)風(fēng)險(xiǎn)演練中對(duì)員工進(jìn)行評(píng)估。

關(guān)鍵問題七：我們有內(nèi)部威脅防護(hù)計(jì)劃嗎?

我們內(nèi)部對(duì)員工的授權(quán)體系建立了嗎?哪些用戶能接觸到核心數(shù)據(jù)?這些用戶是否已經(jīng)被區(qū)別對(duì)待——其實(shí)目前已經(jīng)有不少這樣的產(chǎn)品可以幫助企業(yè)做到這一點(diǎn)。

我們是否知道員工在網(wǎng)絡(luò)上做了些什么?如果他們犯錯(cuò)了，我們是否能知道?這些只有通過及時(shí)的監(jiān)督才能實(shí)現(xiàn)。

關(guān)鍵問題八：我們是否共享有關(guān)漏洞、威脅和事件的信息?

我們是否有分享信息的機(jī)制，包括合作伙伴、客戶，甚至我們的競(jìng)爭(zhēng)對(duì)手?

在美國(guó)有一個(gè)體系，是政府和企業(yè)全方面的信息共享。這件事情無(wú)疑是值得提倡的。

關(guān)鍵問題九：我們是否倡導(dǎo)安全文化?

我們必須倡導(dǎo)，讓每位員工都了解自己在公司的安全職責(zé)。不僅僅是CIO/CSO，每位員工都應(yīng)該了解公司最貴重的資產(chǎn)是哪些。

我們要問自己，是否有持續(xù)的網(wǎng)絡(luò)風(fēng)險(xiǎn)培訓(xùn)計(jì)劃?每年培訓(xùn)一次應(yīng)該是起碼的要求——不一定就是要把大家都叫在一起，通過網(wǎng)絡(luò)培訓(xùn)也往往可以達(dá)到目的。

總結(jié)起來，Bob特別強(qiáng)調(diào)了如下五個(gè)問題：

1，網(wǎng)絡(luò)風(fēng)險(xiǎn)是一個(gè)業(yè)務(wù)問題，任何組織的最高層都應(yīng)該討論并設(shè)法解決。

2，合規(guī)或者合乎框架十分重要，但由于網(wǎng)絡(luò)安全威脅的快速發(fā)展，這并不能環(huán)節(jié)所有風(fēng)險(xiǎn)。

3，針對(duì)組織的攻擊，其規(guī)模、范圍和嚴(yán)重程度很可能在不久的將來升級(jí)。

4，內(nèi)部威脅無(wú)論是惡意的還是無(wú)意的，都可能給組織帶來最大成都的損失。

5，要提升應(yīng)對(duì)網(wǎng)絡(luò)威脅的能力，企業(yè)應(yīng)該更加重視檢測(cè)、補(bǔ)救和恢復(fù)，而不僅僅是阻止。

51CTO是本次2016年首屆C3安全峰會(huì)暨中國(guó)云安全峰會(huì)的獨(dú)家直播媒體。更多相關(guān)信息，請(qǐng)參見直播專題http://netsecurity.51cto.com/act/C3/201607。