信息安全治理中人的要素

相对于治理体系比较完善的跨国公司,多数国内公司在安全治理和管理方面比较混沌和混乱。俗话说:治乱世用重典。

负责公司信息安全的高管要想有所作为,必须严肃安全纪律,但是员工们又不是机器,管制太严可能引发消极对抗,管制太松又改变不了安全问题严重的现状。

说到底,多数信息安全问题不是技术控管措施所能有效解决的,要保障公司的信息安全最重要的是解决和人员相关的问题。

如同完善的公司治理一样,信息安全治理也需要“有法可依”,大的社会环境正从“人治”不断转向“法治”,公司要长治久安,保持业务持续性,也需从信息安全制度体系建设上入手。

而要依赖制度体系进行有效的信息安全运作,则需开发各级安全文档,高手高层的安全方针政策、相关的安全标准要求和以及最终用户可以参照的安全流程和操作指南。

为了让信息安全规章制度能够真正落实,防止“有法不依”的现象,需要在制定安全规章制度时认真考虑“人员”的因素,毕竟,实施或应用安全流程的是“人员”,安全流程也只有经过“人员”的参与操作之后才能达到其特定的安全控管目标。

不要让信息安全相关规章流程成为审计检查之后的一纸废纸,则需要强化流程与人员之间的互动,为安全策略和流程找一个负责人,或称所有者,通常是部门的主管或经理,负责维护流程的更新。而部门成员则可能是该安全策略或安全流程的遵循者,只需照章办事。信息安全管理部门可能也需要创建和维护整个公司范围内通用的,以及部门内部所有的信息安全相关策略和流程,并且需要协调监管其它各业务单元和部门的安全作业流程和安全操作指南。

理顺了信息安全部门人员及各部门安全工作流程负责人之间的关系之后,则需强化人员之间的沟通协调,这其中重要的是安全观念的推广。安全管理负责人要制定详细的安全意识沟通计划,包括对全体员工定期提供通用的信息安全意识培训,以及协助重点部门和人员进行的基于角色类的安全培训,比如对于管理层,可能需要了解更多信息安全相关的职责,就需要特别的管理层安全意识培训,毕竟各部门的经理主管们除了保障自身的信息安全之外,还要担当整个所辖部门的安全管理责任。而特别的部门,如保安部和IT部等等,则会根据工作实际需要,获得与职位和工作相关的必须安全培训。

可以通过必要的安全考试来测量员工们对信息安全基础知识和相关作业流程的掌握情况,昆明亭长朗然科技有限公司的信息安全顾问Bob Xue称:唯有员工们掌握了必要的安全知识和技能之后,安全策略和流程方可被有真正理解,安全规章制度才能行之有效,安全治理工作也会随之顺利开启。

有了好的开端要再接再励,要让员工们接受这些安全方针管理和标准化操作要求,一方面,要强化审核,通过查看工作记录、审计系统日志、以及随机抽查检测,等等方法可以了解实施情况;另一方面,也需要进行必要的激励措施,人是追逐利益的,给为信息安全建设工作有杰出贡献的员工以必要的奖励,适当惩罚违反安全规章制度的行为,会让员工们在面临安全选择之时趋向正确的决定。

最后,信息安全治理也需要充分利用“人员”,创建员工们互相监督,互相提醒的安全气氛,让坏人无处藏身,让不安全念头灭在萌芽,让安全风气得到端正,进而让不安全行为不得发生。

security-governance-and-staff

信息安全关高管们什么事

IT客户支持人员或一心钻研技术的软件开发人员或网络系统管理员何时都不会认为高管们的电脑操作技术如何了得,这是正常的。同样您可以认为在信息安全方面,高管们也是技术菜鸟,他们甚至搞不定一个病毒,更不会配置复杂的防火墙系统。

但是如果认为高管们在信息安全方面不需要有什么作为,那就大错特错了。IT面临着变化,IT管理员不再是仅仅负责安装电脑和办公软件以及维护网络那些简单的事情了,他们要了解业务流程,要知道如何通过信息系统来推进业务创新和提升生产力。安全专家们同样也面临角色的变化,业务经理们不期望太多的安全规章来限制工作效率,C-Level的大头儿们更是在这经济不景气的时候想着如何能从IT及安全领域省些开支,以帮助顺利渡过冬天。

C-Level高管们可能在经济观察报或华尔街日报上看到一些恶性的安全事件,比如与隔壁竞争者之间的商业机密窃取案,黑客入侵行业内某家跨国大公司,某公司员工在微博上晒了内部敏感文档引发社会关注等等。直到有一天,CEO接连收到几个骗子的忽悠电话和短信之后实在无法忍受,便问首席信息安全官CISO或首席安全官CSO,公司在应对网络诈骗方面有什么良策?员工们是否准备好了?

CISO可能并非安全技术方面的高人,不过他(她)更理解业务、IT与安全,他知晓如何使用商业语言同CEO来沟通这些信息安全问题。无非是商业风险、内部控制、供应链安全、业务持续性计划之类的。当然,更懂安全技术架构和体系的是首席技术安全官CTSO,CTSO当然知道不能完全靠安全技术还实现安全控管的目标,特别是和人密切相关的。

在一个新的项目比如设置一个新的大型分支站点或业务单元时,当CTSO还在想如何架构防火墙、入侵防御系统、漏洞扫描及安全监管平台时,CISO则站在更高的位置思考业务可能面临着的威胁、漏洞和风险,并且开始列举出有效控制这些商业风险所需的众多安全控管措施,当然还有一个问题便是预算和紧要性排序。

这关CEO什么事呢?再回到CEO向CISO或CSO的提问,CISO或CSO的简要而正确的回答无非是:我正好要找您谈论这些,您和其他高管们需要更多参与到信息安全战略和员工安全意识培训活动之中。

的确,信息安全不应该只是安全官员、安全总监和经理主管们的职责,所有人都应该担负起一定的安全职责。让IT负责基础架构和应用程序的安全,安全部更多关注的是物理环境的安全,业务流程和业务信息数据的安全更应该由各业务部门来保障,所以,要让每位员工了解自己的安全职责。而要达到这点,只有进行必要的安全意识教育。而要发动安全意识培训教育活动,仍然要从高层做起,无论CISO或CSO都难以独自担当宣传培训活动的重任,无疑,要协作起来,成立安全意识培训委员会,当然谈到对人员进行培训,不能少掉培训部门的参与,甚至人力资源总监CHO也得进来。

至于信息安全战略的制定,无非也是高层的工作。昆明亭长朗然科技有限公司安全培训顾问Alice Wong说:高层在这方面则应成立信息安全委员会,一来彰显“谁管理,谁负责”,二来由最高层制定的战略文件才能在全公司或集团范围内顺利开展。在安全意识培训活动中,高管们无疑应该做出表率,谈一谈信息安全对公司成功的重要性,向员工们分享一些与工作密切相关的安全经验,比如如何识别和防范社交工程攻击等等。

信息安全会变得越来越难,不过我们可以看到高管们在积极地参与到安全建设之中,不仅仅是出于业务流程、信息系统及数据的安全保障,更是站在公司治理、法规遵循和风险管理的高处,同样,也是保障客户、供应链、销售链等等的信息安全需求。

security-matters