信息安全关高管们什么事

IT客户支持人员或一心钻研技术的软件开发人员或网络系统管理员何时都不会认为高管们的电脑操作技术如何了得,这是正常的。同样您可以认为在信息安全方面,高管们也是技术菜鸟,他们甚至搞不定一个病毒,更不会配置复杂的防火墙系统。

但是如果认为高管们在信息安全方面不需要有什么作为,那就大错特错了。IT面临着变化,IT管理员不再是仅仅负责安装电脑和办公软件以及维护网络那些简单的事情了,他们要了解业务流程,要知道如何通过信息系统来推进业务创新和提升生产力。安全专家们同样也面临角色的变化,业务经理们不期望太多的安全规章来限制工作效率,C-Level的大头儿们更是在这经济不景气的时候想着如何能从IT及安全领域省些开支,以帮助顺利渡过冬天。

C-Level高管们可能在经济观察报或华尔街日报上看到一些恶性的安全事件,比如与隔壁竞争者之间的商业机密窃取案,黑客入侵行业内某家跨国大公司,某公司员工在微博上晒了内部敏感文档引发社会关注等等。直到有一天,CEO接连收到几个骗子的忽悠电话和短信之后实在无法忍受,便问首席信息安全官CISO或首席安全官CSO,公司在应对网络诈骗方面有什么良策?员工们是否准备好了?

CISO可能并非安全技术方面的高人,不过他(她)更理解业务、IT与安全,他知晓如何使用商业语言同CEO来沟通这些信息安全问题。无非是商业风险、内部控制、供应链安全、业务持续性计划之类的。当然,更懂安全技术架构和体系的是首席技术安全官CTSO,CTSO当然知道不能完全靠安全技术还实现安全控管的目标,特别是和人密切相关的。

在一个新的项目比如设置一个新的大型分支站点或业务单元时,当CTSO还在想如何架构防火墙、入侵防御系统、漏洞扫描及安全监管平台时,CISO则站在更高的位置思考业务可能面临着的威胁、漏洞和风险,并且开始列举出有效控制这些商业风险所需的众多安全控管措施,当然还有一个问题便是预算和紧要性排序。

这关CEO什么事呢?再回到CEO向CISO或CSO的提问,CISO或CSO的简要而正确的回答无非是:我正好要找您谈论这些,您和其他高管们需要更多参与到信息安全战略和员工安全意识培训活动之中。

的确,信息安全不应该只是安全官员、安全总监和经理主管们的职责,所有人都应该担负起一定的安全职责。让IT负责基础架构和应用程序的安全,安全部更多关注的是物理环境的安全,业务流程和业务信息数据的安全更应该由各业务部门来保障,所以,要让每位员工了解自己的安全职责。而要达到这点,只有进行必要的安全意识教育。而要发动安全意识培训教育活动,仍然要从高层做起,无论CISO或CSO都难以独自担当宣传培训活动的重任,无疑,要协作起来,成立安全意识培训委员会,当然谈到对人员进行培训,不能少掉培训部门的参与,甚至人力资源总监CHO也得进来。

至于信息安全战略的制定,无非也是高层的工作。昆明亭长朗然科技有限公司安全培训顾问Alice Wong说:高层在这方面则应成立信息安全委员会,一来彰显“谁管理,谁负责”,二来由最高层制定的战略文件才能在全公司或集团范围内顺利开展。在安全意识培训活动中,高管们无疑应该做出表率,谈一谈信息安全对公司成功的重要性,向员工们分享一些与工作密切相关的安全经验,比如如何识别和防范社交工程攻击等等。

信息安全会变得越来越难,不过我们可以看到高管们在积极地参与到安全建设之中,不仅仅是出于业务流程、信息系统及数据的安全保障,更是站在公司治理、法规遵循和风险管理的高处,同样,也是保障客户、供应链、销售链等等的信息安全需求。

security-matters

国家安全委员会与信息安全

十八届三中全会报告提出我国决定设立国家安全委员会,以便“最大限度增加和谐因素,增强社会发展活力,提高社会治理水平,维护国家安全,确保人民安居乐业、社会安定有序。”这条重磅新闻是业界专家们此前对十八届三中全会的预期中所没有猜测到的,成为公报发布中的亮点,所以特别引起了海内外的广泛关注。

对国家安全委员会,简称“国安会”,网上有不少的专家解读,但是主要停留在公共安全和国家安全层面,并且也比对了美国国家安全委员会和日本国安会,比较缺乏关于互联网安全或信息安全内容。

我们相信的是国安会必将是掌管中国内外安全这个大概念的核心力量,信息安全必定是其中的部分内容,因为现代经济、政治、社会和国防越来越依赖信息化,信息安全不仅与国民生活息息相关,更关乎国家主权和领土安全。公报不可能在短短数百字中全部罗列可能的行动计划,但我们仍然可以从字里行间看到此后国家信息安全建设的总体指导方针和国家互联网安全战略的微妙变化。

如同一个小型组织机构中的信息安全委员会一样,国安会必定将由国家元首、安全战略高官、各安全相关机构如公安、国安、司法、军方、国信安、安全智囊顾问、以及各中央下属机构负责内外部安全沟通调协组织的大员们组成。国家元首是终极决策者和国家安全责任人,如同“一把手负责制”中总裁或总经理抽当的角色;然后是与公共安全及国家安全相关的专业机构领导,这些就是俗称的保障国家安全的“国家机器”,他们天天干的就是安全活儿,像公司内部的首席安全官、安全总监或安全经理。为什么要中央下属机构也参与进来呢?这是因为只靠专业的安全机构和人员是无法实现国家安全宏伟目标的,国家安全虽是个大概念,但很多领域的安全变得界限模糊,并且与国民的日常工作、生活和学习都分不开。重点的中央下属机构包括金融机构、涉外部门、宣教部门等等。就比如公司信息安全委员会需要让财务部、法务部、人力资源部和对外沟通等部门人员参与进来一样。

在处理公共安全方面,公报特别指出“要改进社会治理方式,激发社会组织活力,创新有效预防和化解社会矛盾体制,健全公共安全体系。”我们可以看到的是近十年来,总体的社会安全状况有了好转,但是这个相对好的状态来源于大量的人力物力投入,造成大量资源的浪费,并且治标不治本,显然不是一种科学的安全治理方式。要激发社会组织活力,无疑需要全民参与公共安全,试想,如果民众在安全防范意识上都能赶上专业安全警员的一小半,我们的安全专业人力队伍和监控系统等技术措施可以减少多少的社会开支!“激发社会组织活力”的中央精神也适用于指导公司的信息安全治理,特别在中央整治公务人员奢侈之风的政治风口更是如此,如何激发员工们对信息安全的重视和支持呢?这需要在信息安全管理方面的创新,昆明亭长朗然科技有限公司致力于帮助各类型的组织机构强化信息安全治理中“人的因素”,以及提升员工们的信息安全认知。

我们有一部关于网络战士保卫信息安全的挑战赛,007相关的国家安全主题,可以让国民和公司职员们轻松理解信息安全基础知识和理念。欢迎联系我们在线体验它的设计和制作。