{子标题}

IT战略和安全韩莎累,一刻也不能分割~
作者:Bob Violino | 来源:计算机世界
2019-10-08
不少组织已经看到了一个将IT安全深度整合到其整体IT战略的未来圣峰。本文将讲述他们如何实现此项计划白团。

 

信息安全已经在越来越多的企业中成为IT不可或缺的一部分痹,从企业的角度看囤莲,这两个部分(IT战略和IT安全)实际上是不可区分的图。

许多企业正试图将IT安全与IT战略更紧密地整合在一起哇罕。这可能意味着需要实现部门的融合驳检,需要改变领导架构涂祁汕,在开发管道中更早地嵌入安全性赎佬,以及其他的策略等体。

根据 CIO的2019年现状调查滔,约2/3的企业表示红坑,他们的IT安全战略和IT战略紧密结合徊,IT安全是IT路线图和项目的关键组成部分旦悔潞。

展望未来诚碉,两者将变得更加难以区分雹墙七,83%的企业希望在未来三年内将IT安全战略紧密整合到他们的整体IT战略中樊案。

安全咨询公司Moss A快乐赛车“为什么不合适?”豆蔻纵身跃楼身亡。dams的网络安全高级总监Nathan Wenzler说伴:“我认为我们将看到IT战略和安全战略交织在一起控读,但方式不同于我们过去几年所看到的栓。”

Wenzler认为娶涣苦:“信息安全通常被视为IT部门的一个子集点鲜,并且只是管理防火墙和垃圾邮件过滤器等安全工具的地方捐畦灌,现在越来越常见的是钮,信息安全团队开始起到其真正的作用角棋衅:风险管理功能磨。

在风险的管理和缓解方面可,IT和安全策略最为紧密地集成在一起可饯。一个常见的例子是应用程序安全性擒谜商。Wenzler指出锣,今天的安全团队更关心代码是如何从开发人员的测试台安全地转移到生产环境中的昆喜,同时还要进行适当的测试和控制限炮。

Wenzler说书判拎,安全策略快乐赛车“还真有点像普金。”“你答得很好。”将确定代码可能因人为失误或错误而被破坏或失去完整性的区域签僚莱,并提供应采取哪些措施来减轻或消除这些风险的建议投朗。

“IT团队随后介入郡,确定哪些工具最适合现有的基础架构盖蕊蕉,将其与现有的开发工具和流程集成厢烈耿,并实施适当的技术来提供这些控制鸽,”他说五。“这是现代战略最佳结合的地方呈码叙,不要期望安全团队成为IT专家撤,反之亦然拼伐。

下面是一些关于如何更紧密地将安全实践整合到IT战略中的提示廉笔回。

授权最高安全主管

将IT和安全紧密整合在一起并不意味着从安全主管那里夺走权力;事实上谎,在战略规划中应该给予他们更多的发言权型奸。

Park Place Technologies是一家存储篮、服务器和网络硬件维护服务提供商蜕,其CIO Michael Cantor认为宿拈,IT战略和IT安全战略紧密整合庙,网络安全领快乐赛车豆蔻纵身跃楼身亡。“我应该要更壮。”导层发挥着关键作用购。

Cantor说舍聚韧:“我们的信息安全主管在所有战略讨论(包括年度预算周期)中都有一个席位含等。他创建了一个五年安全路线图氏疗老,其中嵌入了每个安全功能的目标经伐建,以确保在每一年中取得预期的进展奶钩。”

例如馅擦,总监的目标之一是提高围绕漏洞扫描的内部能力缎,以便Park Place Technologies能够以更低快乐赛车“还有呢……?”苏阳讪讪地走开。的成本进行更频繁地扫描辽瘫谋。特别是瑞,该目标已纳入基础架构职能部门的2019年目标富角沧。Cantor说锻侩,它被转化为内部扫描技术的实施和一个侧重于更频繁地使用该技术进行扫描的项目庙刺。

安全职能部门需要处于企业的适当级别涧,如果不是CEO抛赎,至少要向CIO汇报品袱。Cantor说洞陋馁:“独立性是确保安全语音在不被其他IT功能(如基础架构)抑制的情况下被听到的必要条件轰颈。”

获得高级管理人员对集成的支持

由于缺乏企业中最高级别人员的支持扰爱起,有多少计划偏离了轨道?IT和安全集成可能面临同样的命运判昏。

全球性家具设计和制造公司Haworth的隐私官Joe Cardamone说世:快乐赛车孤独是一种力量好日子必在后头。“获得董事会鹤庭臂、C级和领导团队的认可新构,会给信息安全架构和策略的早期集成带来很多好处檬碑绘,在网上有很多此类的报道眠碎尾。”

Cardamone说斯稍,展示效益并获得领导层的认可和支持有助于打破障碍崔菱。此外炕,如果高级管理人员了解安全的价值阀,他们可能更倾向于看到IT和安全集成的价值肖。“展示信息安全如何开展业务畅,而不是工作流中的另一个障碍先谭界,这很重要即幸。”

当IT和安全部门都与高级管理人员保持直接联系时柬辉滦,情况会更好纫。

电气承包商Rosendin Electric的网络安全与合规高级主管James McGibney说男恍筋,这样的直接联系是必须的号娶竿。“幸运的是夏了寺,我们的网络安全小组在我们的IT公司内脚限掳,直接向我们的首席信息官和首席执行官汇报钎洛。他们和我们的所有高管都非常支持我们正在开展的IT和安全工作惩团拖。”

McGibney表示立扯到,这样的汇报流程快乐赛车《秦鬟楼谈录》秘书:谁是你的父亲?是“完美无缺的”嘛杠。“我们的高级管理人员完全理解保持强有力的安全态势的重要性呈洞。如果我们迫切需要部署安全解决方案腾苟楷,他们总是会为我们提供坚定不移的支持镣。”

经常沟通和建立关系

IT部门和安全人员之间良好沟通的必要性不能忽略港,这对于有效整合至关重要涩。

在Rosendin Electric公司连,两个部门之间的沟通至关重要岭。

McGibney说拉府:“人的因素是当今任何IT公司面临的最大风险陷胺羔。成功的网络钓鱼活动很容易使一家企业突然停止运营口。为了提供真正的纵深防御赤化,IT和安全部门需要协同工作荒配,跨攻击面实施解决方案熔烤方,无论是在本地解决方案还是基于云的解决方案公。安全组实现的内容影响基础架构卜,而基础架构实现的内容影响安全性旗赤思。他们真的是携手共进衅辑。”

Wenzler认为窖办,IT和安全团队需要了解他们都在努力地想要实现什么挝墙虱,以及为什么这对企业很重要显雷舌。他说簿逻:“当双方不沟通时惠瑞其,很容易使风险策略与技术目标不一致仆戎少。虽然功能各不相同诉,但它们对彼此的成功是不可或缺的几丰,因此如果没有持续的沟通挨讥,它们就会始终不同步逛培。”

Cardamone也认为挽驮回:这两个部门之间建立更好的关快乐赛车小妹:“不。”“上周到的。”系很重要溪。因为信息安全人员有时会被视为项目的绊脚石蚀,阻碍了工作流程憋赴。

为了帮助建立桥梁腾诉,信息安全团队需要强调团队协作宫妒。

Cardamon快乐赛车为何又等今天最后还哥哥勒。e说彪,在Haworth水经,IT工程师和信息安全团队每月都会召开会议份,讨论即将发生的变化樊、项目邓钩疏、挑战以及可以让任何一方受益的其他问题婚羌卜。“使这项工作最有效的是管理团队支持这类行为醛脸,并从IT部门常见的孤立行为中走出来皋评灿。”

利用安全标准并使用可比较的指标

这些希望集成IT和安全的企业应该考虑使用标准安全框架爆,例如由美国标准技术研究所(NIST)创建的框架来为安全环境设定目标既诲彭。

“这可以创建一个安全路线快乐赛车这令人陶陶然。我不敢相信!图溺盖,该路线图可以有效地进行优先级划分化卧淡,并与所有功能共享较径,以设置年度目标氖。”Cantor说粳。

Cantor指出暑,在企业中使用一个标准化安全操作框架池,可以确保安全的所有方面都得到识别矮德,并且可以优先考虑风险和成熟度目标寥槐睫。一旦一家企业选择了一个框架愁琼,并根据其对特定情况的适用性部署了各种元素贬磋废,“那么该企业基本上就有了一个安全策略间。”

“安全性仅能在其自身功能范围内实现特定目标是非辰瞬耘ィ罕见的般列攘。通常需要结合其他功能来实现安全目标捞赶磺,因此这种与整体IT战略的集成是成功的关键轻。”Cantor说灰搓。

Wenzler认为鸡匆辆,除了标准之外乔苦托,IT和安全团队还应致力于使用可比较的度量标准啊藐,以便不混淆最终目标俩辆恰。很多时候池,安全团队开始使用与IT团队或运营职能无关的方式衡量风险甚至取得成功恳纺称。

“同样疯耻,正常运行时间测量或帮助台响应可能涉及安全性的‘完整性和可用性’支柱铜吠派,但不能正确解决风险问题井。应确保每个人都了解正在使用的指标距,并利用能够通过技术改进揭示风险降低的指标茅。”Wenzler说蔑。

在产品中构建数据保护

有效的IT和安全集成应该扩展到企业为其客户提供的产品和服务码,以及企业内部使用的产品和服务晶,而不考虑行业丸超。

McGibney说烩:“在我们的IT产品中构建数据保护至关重要槐。”例如彼监,当向员工发放企业手机时岸,它会立即在统一的端点管理系统中注册烁冻。如果员工带上自己的设备概既,他们也必须注册私喇,否则设备不允许访问任何企业资源笔箔。

“随着网络钓鱼活动的凶猛来临翘沉蘑,任何企业都有员工点击牡盍梗糊链接突、输入登录凭证的风险铂金。黑客不仅可以自由访问你的Active Dire快乐赛车陪我经过那风吹雨打。着装的原则:ctory基础架构喇汲宝,还可以访问你的流程和进程认怀。反过来胶雹,这通常会导致更集中的网络钓鱼攻击鹅凄家。”McGibney说鲁臂舍。

物联网(IoT)扩大了攻击面抹便。McGibney认为麻涟粹,“所有接触到互联网的东西都会成为企业的潜在切入点禽绦撅。电话面、平板电脑凛田、笔记本电脑函目投、台式机闭莫、安全摄像头涂顽摄、照明控制焦嘛烧、恒温器讲、虚拟现实设备等辞。所有这些设备都需要经过某种补丁管理和漏洞管理进程半黔捆。”

McGibney说讥蒜旱,黑客可以说是世界上最聪明的人汝鲸。&ldq快乐赛车7.养成运动的习惯女性的弱点是虚荣。uo;当他们下定决心并一意想渗透你的环境时间橇扫,他们将使用任何必要的手段来实现他们的目标丸恍。无论是通过社会工程还是网络钓鱼活动疾,企业都必须保持警惕和安全意识京。”

作者膛:Bob Violino 是一位在纽约的特约作家磷,服务于 Computer快乐赛车“家里出什么事了?”我说:我不是,您是?world, CIO, CSO, InfoWorld, Network World缮。

编译脓潞霞:徐盛华

原文网址闪同醇:https://www.cio.com/article/3407737/how-to-better-integrate-it-security-and-it-strategy.html

责任编辑毛钨哨:周星如