IT安全规则,要的是落实而不是死守

风险与合规是IT安全人常常挂在嘴边的热词,可是真正建立起了有效的安全策略的组织,访来问去,数来数去,不过三成而已。

技术高超的安全渗透攻击人员,只要进入到一家组织机构内部,便可以在几分钟内,轻松入侵一家组织的网络基础架构,而要有效防范这类入侵,却比徒步登天还难。保护网络信息安全是一个体系化的工作,这简单就是宇宙真理啊!如果我们有足够的物理安全防范措施,完全可以将安全渗透测试人员拒之门外,这样,入侵的难度也会成倍的增长。

说到底,保障IT安全,不能仅仅只依赖IT的手段,IT安全防护措施总是落后于入侵手段,这是一个不争的事实。但是在一个管理体系下,所有的玩法都要守规则,黑客江湖也是如此,更何况在这个文明的世代,在党所一统的江山之下呢!

说很多安全防范技术根本搞不定安全入侵者,也有些过,至少可能会很多安全技术高手不服。其实,即使您是黑客高手,您若不遵守业界普遍认可的规则,下场那是绝对逃不出技能远不如您的安全力量的惩戒,就如同孙悟空逃不出如来佛手掌一样。对一名IT安全技术热来讲,如何了解IT安全“行规”呢?其实,如同防范安全入侵一样的道理,补充好自己的短板–强化安全管理理论知识技能的学习。

您亦可能是组织机构内的IT安全管理从业人员,您讨厌那些人治的拍脑袋的安全做法,想通过一套IT安全规则来建立理想的信息(系统)使用秩序。这是多么明智的想法和做法!可是,发布一套IT安全规则容易,要让这套IT安全规则生效则很难。不是一般的难,而是阻力重重,办不了事儿常见,得罪人事小,影响士气事大。

不要怀疑自己!我们辛勤发布的IT安全规则不被遵守,并不是我们存有私心,想借此来搞办公室政治。相反,是因为我们的出发点太过于高尚和伟大,我们以为这是正确的方向和做法,大家应该会自觉的遵守。其实,我们把事情想像的太过简单和完美,在受众的眼中,IT安全规则,要么我不知道是什么;要么即使我知道了,也只是一纸文书,和我没有什么关系;哦,和我可能多少有点关系,那就是IT安全规则是整人的,没事儿找事儿!

现在您可能已经知晓了问题的核心所在,您并没有被这些话激怒,您可能开始彻悟。昆明亭长朗然科技有限公司信息安全顾问董志军表示:IT安全规则要深入人心,要获得有效的执行力,首先不能太过死板。有些IT安全专员可能会说:IT政策应该获得强制执行。我要说:“强制”一词虽然很好地强调了“效力”,但是有些高压强迫之意,有些不近人情的味道,在强调“创新为要”和“人文关怀”的年代,并不能很好地表达出“有效”。

所以,制定和发布IT安全规则,要懂得搞民主,懂得搞浪漫,营造全员参与的气氛,这时候,IT安全专业高手应该让位给沟通协调高手。有的人说:我们就搞白色恐怖,重惩戒,几次下来,安全好多了。这里面有一个假定的前提,就是默认员工们是不自觉的。如果员工们不自觉,那更多应该是组织文化管理的问题,而非仅仅是信息安全所面对的。我们不否认在白色恐怖下,人们对待安全的态度和做法会变得很谨慎。但是在白色恐怖气氛笼罩下,人员的士气和社会的生产力降低了多少!那是安全损失的多少倍!

该如何让IT安全规则获得很好的执行?首先,IT安全规则需要被受众所理解,在规则的发布过程中,重要的是沟通,培训、宣讲、演示都是不错的沟通方法,而检查沟通效果的方法是访谈和考核。其次,是检查IT安全规则的实施效果,每项IT安全流程都有其输入和输出,也有其控制点。对这些地方进行检查,是了解IT安全规则执行力的不二方法。在这里,我们不能太过于死板,特别是当IT安全规则检查成了一项常规工作之后,我们可能会有完善的检查清单,但是却缺乏一颗熟知IT安全规则背景精神的善心。就如同很多街头执法人员死搬工作条文,而不具备人道主义和人文精神一样,粗暴执法的结果常常是激化出一起又一起社会矛盾和悲剧事件。

如何让IT安全规则检查人员拥有一颗熟知IT安全规则背景精神的善心呢?需要的仍然是IT安全规则的沟通,我们要让IT安全规则的目的和精神要义得到展示,它们本身就应该是来协助我们做好工作的,而非冷冰冰的来限制我们的条文。

说到这里,很多IT安全人没有太多的经验。在IT安全规则的沟通,特别是IT安全规则的背后精神要义的讲解方面,昆明亭长朗然科技有限公司有一整套的动画素材和互动式教程。欢迎各位IT安全人来与我们探讨、合作。当然,这些安全精神要义,也可以用在IT安全范围之外。

不要死板的守着那些冰冷无情的条文,开启您的IT安全善心,感化受众,才是获得IT安全落实的最高境界!点击如下的图示,在线体验一下我们的信息安全意识沟通课件吧!其实,您可能更对IT管理感兴趣,在我们的IT安全管理教程中,就包含了大量的IT安全规则要义呢!

Internet security online business concept pointing security services

欢迎联系我们,在线免费预览我们的各种课程内容。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

漫谈信息安全经理需要了解的国内外安全标准

尽管由人治向法治的过程困难重重,但不可否认法治观念越来越深入人心,信息安全领域的管理也不再是领导拍脑袋凭主观意愿决定一切的时代了。政府部门和关键的重点行业更是会接受多家监管机构对安全遵循的要求,领导型的标杆企业更是不得不向行业安全标准靠拢以增加竞争力,本文不是来剖析和解读业界的安全标准,只是来随意闲聊一下。

要说安全标准主要可以分为两类,一类是需要强制性遵循的,主要是安全监管机构的法律法规和特殊行业的安全需要,比如几乎所有组织机构都要受到公共安全网络监管和保密等机构相关法规纪律的约束比如NIST、FISMA和信息安全等级保护等,而所有重点行业,都会有行业监管机构出台相关的安全准则如COSO、SOX、HIPAA和中国某行业监督管理委员会信息系统安全指南等,甚至大型领导厂商也会联合起来制定安全准入标准比如PCI等。

除了强制性必须遵循的之外,另一类是泛行业性质的安全标准,这些和行业及规模无关,比如国际化标准ISO/IEC 27001/2以及一些安全治理构架COBIT等。

不可否认的是这些标准之间会存在竞争,强制性标准中有政治权力和经济利益之争,而行业标准更多的是经济利益和影响力之争,各类标准的势力范围也与时俱进,越扩越大并且开始趋同。这各趋势并不见得是坏事,因为只要遵循一种比较成熟和完善的标准,往往相关的要求都可以被映射到其它类似标准之中,所以如果组织的信息安全管理体系和ISO 27001/2保持一致的话,可以说其它任何安全管理规范或文件都已经被遵循了90%以上,剩下的那些少量的条款和特别的要求只需稍做努力便可轻松实现,因为管理体系的精髓都是相通甚至相同的,所以基于相同安全理念而细化出来的法规制度也大同小异。

各级组织机构往往会根据安全管理体系标准的要求,结合单位和部门的实际情况,细化制作相关的信息安全规章制度和工作流程,其中不乏各类工作文档、动员会议和沟通培训等等。

接下来更进一步,各单位会对所辖范围内的安全管理体系规程的实施情况进行定期审查,以确保信息安全管理方针政策得以落实,安全制度得以遵照执行,安全体系建设得以不断改进。

多数的安全管理审查结果并不理想,这让安全管理规定的落实大打折扣,严重的会让安全标准和制度成为一纸空文。问题的根源何在呢?昆明亭长朗然科技有限公司的资深安全管理顾问James Dong说:各单位的信息安全管理领导小组或安全管理委员会对信息安全的理解和认识往往比较全面,再根据各安全主管部门的要求和指导,容易制定出与实际工作相关的安全规程;到部门安全(协调)员和最终用户这一级,往往并非安全方面的专家,他们缺乏对信息安全的整体和全面的认识,以至于难以制定出具体的日常安全工作操作流程和安全注意事项等等运用于最佳安全实践之中,再加之安全并非他们日常工作的核心内容,所以即使被强迫制定出一些文档,也是为了应付检查而非真正嵌入到工作流程之中。

由于这些一线用户数量众多,他们对安全认识的不够足以影响整体的安全管理水平,具体的表现形式为抵抗、躲避或忽略各类安全技术和管理控制措施,而安全认知水平不够的根源在于安全知识体系管理和沟通的不足,简单说,就是信息安全管理委员会或信息安全管理领导小组没有对各部门的安全管理员、安全技术人员和最终用户进行足够的安全知识灌输,以填补信息安全意识的空洞和差距。

所以,如果你是一名安全管理专家,或安全管理领导小组的成员,请不要再执著于具体的安全管理标准或规范的名称如ISO/IEC 27001、 COBIT、 HIPAA、 PCI-DSS、 SOX、 等级保护等等,而是加强对下属各部门安全(管理协调)员的支持,对他们进行安全理念和管理体系的培训,支持他们对最终用户进行安全意识培训教育。

信息安全管理标准大同小异,落实才是关键,而落实安全管理标准的重要工作,也是常常被忽略掉的核心一环,是填补安全认识不足的鸿沟,亦即是对员工进行足够的信息安全意识培训。