网络犯罪日益猖獗,信息安全专家必须改变安全战略

商业流程越来越信赖信息流程,组织面对的各类安全威胁已经不是简单交给信息安全部门就可获得圆满解决的了,相反,组织应该采取更加具有前瞻性战略眼光、基于业务持续性计划的综合风险管理方案。

外部安全威胁如来自互联网的威胁仍然会呈几何级数增长,让安全防范如临大敌,更严重的是它们一旦合体,则破坏力更是无比,高级可持续性威胁APT即是如此,有组织的、有目标的、坚定的网络犯罪份子是目前公认最难防范的安全威胁。商业间谍更是在市场竞争日益激烈的时代练就了一身的本领,他们受雇于竞争对手,用尽各种手段,企图获取各组织的机密数据,进而摧毁其核心竞争力。

未来几年,全球范围内的新一波信息化浪潮会进一步席卷各类组织,网络犯罪也会持续水涨船高。而国家之间的互联网军备竞赛无疑将导致一场新的互联网冷战,互联网大规模杀伤性武器和防御体系会相继问世,不要以为这些不会影响到民用和商用领域,就如同战争来时,炮弹不长眼,平民也无法幸免一样。

来自内部的安全威胁更是让各类组织不容忽视,各类组织迫于成本、效率和竞争力的压力,不得不销减各类开支和采用创新方案,虚拟化、云计算、外包服务、移动办公、BYOD等等带来成本降低效率提高的同时也带来了众多新的安全漏洞,让组织内部的安全弱点暴露给外部攻击者,更不用提不满的内部员工和安全意识淡漠的员工。

商业供应链也是难定内外的一大安全威胁来源,现代组织的信息数据分散存放及传播于多家合作或关联组织,每个环节都有可能令数据暴露,引起的安全事故给组织及供应商带来不利影响,但是再大的影响也抵挡不住供应链数字化、更多职能外包的趋势。

要积极应对这些外患内忧,非个人英雄主义者可以解决,安全专家需要帮助高层管理团队了解信息安全的价值,组织应当积极采取信息安全治理框架,并紧密结合组织的商业风险管理体系,要分配必要的安全资源,以确保持续的安全投入能满足到业务的需求。

在获得了高管阶层的认同和支持之后,安全专家要将这些新的安全战略落实,最重要的步骤仍然是沟通,即通过实施信息安全意识教育计划,让所有员工了解到组织所面临的内外部安全威胁,防范这些威胁的通用安全措施,自己在日常工作中所担负的安全职责等等,进而发起群防群治运动,筑建立体的多层安全防线。

如何从零开始实施信息安全计划

信息技术极客们往往深信可以通过技术创新来改变现状和造福人类,可在现实生活中,众多社会问题明明可以通过有效的信息技术手段来解决,但为什么总是阻力重重,“理想很丰满,现实很骨感”呢?

要说是既得利益者的势力过于强大那只是弱者的借口,当一项新事物出现时,旧体制下的既得利益者有两种心态,迎合及阻拦。当创新技术有足够的颠覆力之时,看不到历史大趋势的顽固阻力几乎可以让人忽略。如果不是颠覆性的创新,信息技术极客们就不能过度相信旧体制下的既得利益者会积极迎合自己啦。

在计算机网络信息安全领域,类似的情景也在上演。昆明亭长朗然科技有限公司的企业信息安全管理顾问James Dong说:在面对导出不穷的安全事件时,IT安全管理员可能发现技术方面的控管措施并不足够,而更多需要针对人员的在流程和制度方面的标准化管理,同时在IT人员在职业发展层面也期望更上一层楼,于是IT安全从业人员们将目光转向信息安全管理系统ISMS实施领域。

IT人员不甘平庸,追求上进的精神风貌很值得肯定和赞扬,但是仅仅依靠热情和勇气并不足够。无疑,我们需要正确的方法,要有效建立和实施一套信息安全计划并不像上线一台防火墙、IPS或员工上网行为管理系统那么轻易。特别对于多数组织来讲,ISMS信息安全管理系统并非强制性必须遵守的法规。相比于一套几乎透明到无人知晓的IPS系统,ISMS更多像是在进行业务流程的梳理和再制——所有在范围之内的人员都会受到影响,都要被“搞定”。

如何开始呢?亭长朗然公司James分享如下经验:

1.获得高管的认可和赞助,信息安全和组织管理悉悉相关,IT人管理机器没问题,在部门内部推动一项计划也不用花费太大力气。要跨部门,跨站点甚至跨业务单元去推动一个项目,谁听您的啊?所以需要高层认可和赞助,拿到尚方宝剑。如果高管对此不理解,那IT安全人得让高管理解,如果高管理解了,但不买您,可能是时机不能,先等一等,多次尝试后还不行,那就只能选择放弃,因为ISMS要取得成功,一定是由上至下推动的,几乎没有由下至上推的成功案例。

2.开发制作用于实施安全政策、标准和法规遵从程序的实用指南,ISMS不是靠“人治”,而是靠“法治”,所以,需要符合ISMS要求的文件体系。简单说,需要发布精要的高端的信息安全战略方针,并且发布针对全员的安全手册,还得要求各部门制定本部门工作相关的安全操作流程。

3.确保有必要的物理安全控制措施并且有一个紧急事件响应团队,物理安全有时可能不被信息系统人员所重视,然而物理安全出现问题,会让信息安全失去根基。应急响应团队不仅来应对各类安全突发事件,也是和内部人员进行有效安全沟通,解决一线安全隐患和安全问题的关键力量。

4.采取灾难恢复计划和业务持续性计划的关键步骤,要信息安全与业务安全的目标和战略保持一致,让信息安全和业务单元的中高阶管理层有共同语言,能够相互理解和支持,并且建立起和谐的关系,这些关键的步骤一个都不能少。

5.确保计算机网络安全,守住IT人员的大本营,别让病毒代码过期了几个月、防火墙规则几年都没人看、员工偷偷使用非授权的代理服务器软件等等这类信息安全事件发生。

通过如上五点措施,即使是从零开始的信息安全管理体系建设,也应该能够在正确的方向指引之下,获得一个及格分。ISMS的提升是永不停步的,借助PDCA方法,可以不断获得改进。