转型中的信息安全——组建一支顶尖的安全团队(1)
已更新
转型中的信息安全——组建一支顶尖的安全团队(1)
转载请在文首保留原文出处:EMC中文支持论坛 - https://community.emc.com/go/chinese
介绍
几年之前,如果你走进信息安全部门,可能会看到一支技术型团队。你可能会听到他们正在讨论外围保护、合规清单和防病毒更新。如今,走进同一个部门,你会看到一副完全不同的画面。团队不断扩大,其成员涵盖了不同学科团队的专家,其中包括威胁分析师、风险顾问、数据科学家和流程专家等。他们讨论的话题变成了业务风险管理、数据分析、控制措施保证、服务提供商管理。
虽然不同公司处于转型的不同阶段,但大多数公司都意识到了利用新方法实现信息安全的必要性。事实上,在最近的一次安全调查中,全球性企业的第二大支出就是对信息安全计划从根本上进行重新设计。简单地增加单点式解决方案或渐进式改进已不能满足需要。但是,有效且具有前瞻性的信息安全计划究竟是怎样的?
本系列文章将介绍各项必要的新技能,并解释了如何在整个企业内分配信息安全责任。它为组建顶尖扩展团队提供了具体、切实可行的建议。
更多信息
信息安全新内容:
信息安全的使命是不再只是“实施和运行控制措施”,而是不断发展,涵盖了更广范围的各项活动。构建优化团队,拥有完成工作的最佳人才,需要对工作范围进行深入了解。
如今,在全球企业中管理信息资产风险需要什么?与几年前相比,其要求已经发生了重大改变。特别是在过去18个月中,随着网络攻击不断升级,管理信息资产风险的要求也不断增加,相关管理人员需要更多采用新技术,提高监管审查水平并建立高度互联的商业环境。
如今,为了主动应对网络安全风险,各组织正承受着巨大的压力。实现这种改变需要抵御先进威胁的新方法,将信息安融入业务和技术战略中,并确保安全流程有效、高效。
如今需要的以先进技术和业务为中心的活动包括:
Ø 信息风险管理/业务风险与回报分析
o 将风险/回报决策系统化
Ø 资产清点和评估
o 确定保护策略的优先级,重点保护核心业务
Ø 第三方风险管理/IT 供应链完整性
o 评估日益增多的全球采购服务提供商和系统组件
Ø 网络风险情报和威胁分析
o 了解威胁形式并识别攻击指标
Ø 安全数据分析
o 应用先进分析技术,在IT环境中识别系统或用户行为的异常
Ø 安全数据管理和数据仓库存储
o 发展总体战略和基础构架,从各种来源中收集数据,用于威胁检测、控制措施监控、法规遵从性报告等不同用途
Ø 安全流程优化
o 将安全流程效率的提高正规化
Ø 控制措施敏捷性
o 使用新方法实现安全控制措施的目标,以应对云和移动计算等趋势
团队战略的基石是定义使命,以确定“什么人做什么”。下表描绘了先进组织的信息安全使命,对比了较为传统的活动和对日益先进的活动。具有聚合计划的组织,其使命可能还包括反欺诈、e-Discovery、保护隐私,产品质量和/或物理安全等相关任务。本文介绍了各种信息安全组件,同时注意与其他相关活动进行必要协调。
以下工作内容大致按照从常规到高级的顺序排列
项目管理 |
· 确定信息安全管理项目的整体战略和计划 · 确保项目符合组织最关键业务的需要 · 与反欺诈、e-Discovery、物理安全、产品安全和/或保护隐私等相关任务相协调 |
安全策略和标准 |
· 制定并记录规定组织保护信息方法的总体方向和规则 · 制定一套完整的管理、技术和物理信息安全控制措施(即控制措施框架)供组织使用,包括访问控制、加密、身份识别和认证、配置管理、监控、审计日志、应用程序安全性和意识培训(面对员工和客户)。 · 兼顾各种法律和法规(如 SOX、HIPAA 和 PCI)的要求 · 确保控制措施灵活敏捷并可以跟踪业务和威胁形势中的变化 |
控制措施实施 |
· 根据策略、标准和内外部环境因素,实施控制措施 |
控制措施运行 |
· 根据策略、标准和内外部环境因素,运行控制措施 |
控制措施设计 (安全体系结构) |
· 根据业务、IT 和威胁形势的变化,开发新的控制措施或实施方法 · 新控制措施或实施方法包括应用程序开发技术,指定、部署、定制和/或开发新的安全技术,和新的终端用户协议及程序 |
控制措施监管/保证 |
· 评估所有控制措施,确保其符合政策和标准 · 核实所有控制措施均已落实到位,并如预期执行 · 确保所有控制措施均受到持续监控并业经证明 |
事件响应/恢复能力 |
· 协调和管理组织对安全事件的响应,包括保障业务连续性/灾难恢复 |
信息风险评估 |
· 根据信息价值、数据资产、相关威胁和漏洞、发生安全危害的可能性、对组织的影响(如信誉、收入、违反相关监管规定)和估算损失,对计划、流程、项目、举措或系统的风险进行评估 |
信息风险管理/ 业务风险对比报酬分析 |
· 确定风险承担人的风险偏好和授权的风险接受程度 · 根据对特定计划、流程、项目、举措或系统的风险评估,制定风险缓解和补救策略 · 采用一套统一的流程,来根据业务报酬衡量信息安全风险大小 · 确定所需的控制措施,以将风险降低到可接受的水平 · 将信息风险整合入企业风险管理框架/计划中 |
资产清查和估值 |
· 对组织所使用的业务流程、敏感数据和信息系统进行清查并完整编目 · 建立全面的业务流程文件汇编和数据流描绘图,以深入了解需要保护的流程和数据,并制定保护策略 · 确定整个企业范围内可访问关键系统的特权用户 · 确定资产价值,以排定保护策略的优先顺序 |
第三方风险管理/ IT供应链完整性 |
· 确保在组织与第三方建立合作关系前,先进行风险评估 · 建立尽职调查流程,对供应商和合作伙伴进行评估 · 持续评估同供应商和合作伙伴开展业务合作中涉及的风险 · 了解 IT 供应链,并对企业 IT 环境中使用的硬件和软件进行安全性评估 · 通过共享评估结果和持续监控控制措施,来提高效率 |
网络风险情报和威胁分析 |
· 了解对于企业资产(形象、能力、动机、目标)的威胁形势 · 收集组织所面临的威胁的相关情报数据 · 管理情报数据来源,解读数据,开展分析,并生成威胁情报报告和警报 · 将威胁模型和情报整合到整个安全管理流程和生命周期中 |
安全数据分析 |
· 使用高级分析技术和数据科学,分析情报数据带来的更丰富的安全数据 · 开发查询、算法和数据模型,用于检测或预测恶意活动 |
安全数据管理和数据仓库存储 |
· 制定数据管理战略,建立基础架构,对多个来源(安全系统、数据库、应用程序、威胁源)的安全数据进行汇总和分析,供多种不同用途(如威胁检测、企业风险管理和法规遵从性、持续控制措施监控) · 为安全数据构建数据仓库 |
安全流程优化 |
· 持续跟踪和衡量安全流程的效率,并利用正规化的质量管理、项目管理和服务提供方法实施改进 |
长远规划 |
· 关注业务、科技和法规的未来发展趋势,以制定积极主动的安全战略。例如,“物联网”和可穿戴式电脑设备等科技发展都正在带来全新的安全挑战 |
参考
EMC技术白皮书
《Transforming Information Security: Creating a State-of-the-Art Extended Team》
应用于
信息安全