我面临一个安全项目的问题,例如:去年我们为500(端点安全)购买了一个杀毒许可证,并制定了一个政策来强制每个人都安装它,然而,在年底,我们发现只有 50 个用户正确使用了防病毒软件。
我已经讨论过这个问题和其他有关数字安全的问题,但高层管理人员并没有很好地支持我们。
我想得到管理层的全力支持,但我对如何做到这一点感到困惑。
附加信息:
尽管也有例外,但经理们通常出于以下两个原因之一做事:
现在将其应用于您的管理层,以查看关键利益相关者是谁:
利益相关者可能都是同一个人,也可能是不同的个人。无论哪种方式,这些都是您需要联系的人。至于如何联系他们,与管理打交道的第一条规则是给他们一个解决方案,而不是一个问题。如果你把问题抛在他们的腿上,他们会在你解决问题后告诉你回来,而如果你带着解决方案来找他们,你更有可能得到你需要的东西。请记住,经理的存在是为了为您工作,他们不希望自己做更多的工作,因此,如果您向他们提供可以为他们创造工作的东西,他们会将其转嫁给您。此外,提前完成工作表明您了解问题并会给您更多的可信度。
因此,制定解决问题的计划。需要什么?额外帮助的钱?培训计划?弄清楚你将如何修复它以及需要多长时间。将其放入包含 3 张简单幻灯片的 powerpoint 中,并放在关键利益相关者面前。让他们中的一个“拥有问题”,然后他们将负责解决问题。开始发布月度报告,显示 AV 使用情况并将其分发给利益相关者。
记住是什么激励了管理:这不是关于做正确的事,而是关于可见性。让问题可见并让他们拥有它。
这实际上是为了缩小信息安全和业务目标之间的差距。
对于今天的大多数安全部门来说,向董事会出售信息安全是主要挑战。通常,董事会成员并不关心“良好的安全性”,他们关心的是“足够好的安全性”。在大多数组织中,InfoSec 很少有明确的定义,并且几乎没有已知的标准。至少可以说,可证明的安全投资回报是,难以捉摸。
您的目标是了解董事关心的问题,并制定战略来宣传信息安全至关重要的信息。有几点可以帮助您实现这一目标:
了解组织内的合适人选。与首席财务官、首席执行官或内部审计总监进行友好的讨论,可以让您深入了解如何最好地与董事会接洽。此外,请确保您有一些空间来讨论信息安全。这些是您让 CEO 及时了解贵公司的主要风险和保护措施的机会。
让您的 CEO 及时了解可能影响您公司的法律法规。信息保护现在是强制性的。法律、法规、保险要求和股东期望现在使信息保护成为业务要求。根据贵组织的报告结构,CEO 是将信息安全信息传递给董事会的人。然后,你需要赢得 CEO 的心,从而赢得董事会。
非常投机取巧。CEO 对提交给董事会的内容非常挑剔。您可以利用这一点将信息安全提上议事日程。例如,一个广为人知的计算机犯罪(例如 最近的 Heartbleed 漏洞)必然会引起他们的注意。您可以对自己组织内的事件执行相同的操作。证明重大计算机泄露可能意味着下一季度的数字可能会大大降低。您应该非常具体并提供数字估计。
利用(并试图影响)他人所做的工作。内部审计部门的工作通常非常有价值。外部审计和安全测试服务也有很大帮助。作为 ISP,您可能需要接受ISAE 审核。使用这些将您的需求和疑虑推向董事会。例如,我最近为一家大公司执行了信息安全治理审计。客户是他们的内部审计部门,他们被 CSO / 安全部门非正式地“雇佣”来做这件事,以便与董事会一起推进事情。
指出良好的信息安全如何为您的公司增值。强大的安全性可以成为一个卖点。作为 ISP,您肯定可以将您的安全态势作为卖点推广给潜在客户。
使用广为接受的财务和决策流程技术来证明信息安全投资的合理性。业务主管根据投资回报率花钱,可能对基于未量化但非常真实的恐惧的方法反应不佳。这并不总是那么容易——可用的解决方案通常不适合按数字分析——但你最好的办法是对信息安全投资的回报进行客观和量化的估计。
使用基准、公开报告(例如Verizon DBIR、思科年度安全报告)或知名公司进行的调查与您的同行进行比较。
拥有正确的组织也是决定性因素。这包括明确定义的信息安全治理、管理和组织模型、报告功能等。
您成功的关键在于通过首席执行官和其他主要公司官员与您的董事建立牢固的关系。强调信息安全是如何帮助企业领导者取得成功并为生产力、盈利能力和增长做出贡献的服务。这是一个让任何董事会成员感到高兴的信息。
该理论是,你通过使用获得支持的指标:你必须把数字,最好是在美元计算(或欧元或日元)背后的安全性。管理者管理:他们根据观察到的情况和要达到的目标做出决定。这些目标通常(至少部分地)以财务术语表达。因此,管理人员将根据是否值得付出努力来决定支持/资助/强制使用安全控制(例如,防病毒):总体而言,上述安全措施应该带来比花在它们上的更多的钱。
由于安全处理风险,因此度量标准必须考虑恐惧事件发生的概率和所涉及的成本。成本是多种形式;例如,存在与商业声誉受损程度有关的“形象成本”,众所周知,难以估计。然后还必须估计任何设想的安全控制(例如防病毒),包括其自身的内在成本(例如防病毒许可证,以及额外的系统管理时间,以及防病毒与某些现有软件和/或实践之间不兼容所产生的开销),以及预计会在多大程度上降低攻击的可能性或攻击隐含的成本。
这里的主要概念是:数字。去量化。经理需要数字。如果您必须进行“模糊估计”(即疯狂猜测),请产生更多数字:将估计值作为数字给出,并估计先前估计的可靠性。
该做法是有点不同的,当然。管理者也是人。他们必须做出决定,但他们不喜欢这样。他们真正希望的是首席信息安全官提供详细的分析,最终得到一张带有二元选择的幻灯片:这样做会节省很多钱,或者不这样做并承担后果。
因为虽然管理者的任务是决定,但他们真正喜欢做的是批准或拒绝。如果你让他们的生活更轻松,你会得到经理的支持,这包括让所有的决策工作,除了最后的“是”或“否”印章。
请记住,业务就是一切。任何决定都将根据提议的战略或政策与组织最终目标的契合程度来做出。这些目标各不相同,但在许多情况下,它们可以表达为:“赚钱。很多。”。
(完全披露: 我建立和运行软件渗透测试和安全团队作为构建安全软件和安全开发软件的子功能。我的公司未列在以下任何服务建议中。)
你应该建立一个安全团队还是渗透测试团队?
虽然这里的一些响应者提到了内部渗透测试,但对于许多组织来说,建立和维护这样一个团队几乎是不可能的,尤其是不从事安全业务的小型公司。这些技能在招聘中很难获得。如果您选择培训内部员工,那么除了培训的金钱和机会成本之外,您还要承担增加的人员流失风险。风险在于,一旦获得了这些技能,该行业对具有此类技能的员工的需求量很大,因此大多数公司都会经历这些人员的流失增加,因为还有很多其他公司愿意为这些技能支付高昂的费用。(顺便说一句,我确实建议对您的员工进行安全培训,但不一定要像“建立一个渗透测试团队”那样深入投资。)
聘请第 3 方,以便您可以专注于您的核心业务。
我对您规模的公司的建议是争取一家专门从事渗透测试的商业公司的技能。这在您的管理层和高管眼中为您赢得了合法性。与其说“IT 领域的那个安全专家”告诉我们需要提高安全性,不如说它来自一家帮助保护财富 1000 强公司的公司。
示例渗透测试公司包括Core Security、Offensive Security、Trustwave和Cigital——它们的 CEO (Gary McGuire) 从字面上“写了”关于软件安全的书。为避免混淆,您正在寻找的服务称为“网络渗透测试”。(“网络”术语将其与“软件渗透测试”区分开来。这很重要,因为如果您对“渗透测试”进行一般搜索,您会发现很多公司专门在新软件发布之前对其进行测试,这也恰好被称为“渗透测试”。我个人将软件安全测试的这一方面称为“漏洞分析”,但这需要在安全软件开发生命周期中单独发布。)
不要以成功的违规行为让您的主管感到惊讶。
最重要的是确保在测试开始之前提前通知 CxO 或董事会级别的人员并参与其中。(否则,您将引发法律问题,因为如果公司没有明确要求执行此类攻击,则这些类型的攻击是非法的。)
笔测试是表明存在实际问题的好方法。一个好的渗透测试人员实际上会破坏系统并获取私人数据,以显示问题的严重性。但是,您如何产生足够的兴趣来获得对渗透测试的支持?您可以使用以下方法获得支持,以支持部署防病毒软件、进行渗透测试或任何需要完成的合法工作,以强化您的基础架构、控制风险并保护您的客户。
如何产生支持
1. 满足公司限制风险和责任的自然愿望,同时抵御竞争对手。
只是几个例子...
一个。 公司或行政人员的责任。 如果 CEO 和董事会被证明知道存在商业风险并且他们没有采取任何措施来补救风险,则他们可能会被追究个人责任。因此,您可以在沟通中(轻轻地)利用这一点。一旦他们同意进行自我评估,他们甚至可以选择对公司场所进行物理渗透测试。(即,假装是消防队长,通过前台说话,然后在“消防检查”期间,在所有机器上安装电话回家的键盘记录 USB 记忆棒。)
湾。 PCI-DSS 的成本或收入损失。 如果您通过信用卡接收付款,PCI-DSS“标准”要求必须在业务基础架构中实施某些安全解决方案。信用卡公司已经想出这种方法,将欺诈交易的责任从他们转移到您(面向客户的业务)。如果您要接受审计(我正在与一家正在接受审计的中型企业打交道),您可能会被迫引入第 3 方安全供应商或托管服务提供商来评估和实施安全性,所有这些成本比您自己做的要高得多,否则有被 Visa、MC 和/或 AmEx 切断处理的风险,直到您能够证明您已经纠正了问题并支付了独立审计费用。你应该自己寻求更多关于这方面的信息,
C。 政府干预造成的停机时间和收入影响。
FBI 监控互联网流量,寻找打电话回家的恶意软件感染迹象。我曾参与过几次 FBI 联系企业并告诉他们他们的网络已被感染的案例。这里的风险是他们可能没收计算机或切断您的主干网络,直到被利用的系统被清除。由于您是 ISP,如果您是 colo'd,那么您可能会从 colo 设施中产生费用,以便他们派人员在现场与 FBI 打交道。如果您运行自己的数据中心,那么您可能会看到服务器或机架消失,或者至少在执行取证时离线一段时间。这种停机时间可能对业务造成毁灭性影响。
d。 竞争性攻击 您是否知道您的竞争对手可以利用雇佣攻击者的服务对您的网络进行 DDOS 攻击,从而对您的客户产生负面影响?或者,他们可以选择尝试访问您的内部系统,以获取敏感的业务路线图信息或定价、供应商或客户列表。
e. 黑客——又名“安全研究人员” (对于我们那里的纯粹主义者来说,是的,这些实际上被称为“破解者”,但现在让我们坚持使用白话。)未受保护的网络或未充分保护的端点最终可能成为目标(双关语)黑帽、灰帽或白帽黑客。换句话说,独立的第 3 方可能会找到一种方法来破坏您的系统以获得乐趣或利润。
结果可能包括:
通过受损的银行登录凭据或直接访问(拥有)的内部系统窃取公司资金;
必须通知您的客户您的系统已被破坏,并且他们的客户数据(密码、信用卡号等)已被盗;
必须与攻击者协商支付赎金,以重新获得对他们加密的关键内部系统的访问权限,从而将您拒之门外并迫使您付款;
必须与“安全研究人员”协商以获得足够的时间来修补内部系统或关闭安全漏洞,然后才能“公开”他们已经击败您的外围安全或分层防御机制的信息。更激进的“研究人员”可能会提供概念验证工具,甚至提供有关如何复制攻击的详细说明,以便其他研究人员可以验证他们的发现(而黑客利用新披露的信息进行实际攻击)。
要补充的一个关键点: 通过担任“IT 安全经理”的头衔,您需要意识到,如果上述结果之一实际发生,执行人员可能会问您“您是如何让这种情况发生的” ?” 在这种情况下,他们不太可能记住您过去要求他们支持安全策略和程序的提案。
2. 建立意识。
一个。在公司内部共享安全信息。创建自定义的每周通讯,您可以在其中选择最适合您的业务的安全主题,并添加您对公司风险或适用性的个人分析,以及用户或公司可以采取哪些预防措施。如需实时信息源,请订阅安全行业专家(Eric Krebs 或 Bruce Schneier 非常出色)或解决方案提供商(优秀的信息源/博客包括 TripWire 的“安全状态”、赛门铁克的“威胁情报”、卡巴斯基的“Securelist”和 Google 的“在线安全博客”等)。
湾。进行一些您自己的渗透测试或漏洞分析,以突出容易受到攻击的系统。我建议选择一个尝试利用网络漏洞的工具,例如 Metasploit(很棒,被广泛使用,但请拿一本书来指导您的方式)或 Core Impact(昂贵)。您还应该研究仅标记漏洞存在的渗透测试或漏洞分析应用程序,例如 Cenzic Hailstorm(最近被我上面列出的渗透测试公司 Trustwave 收购)。结果可能不会让您感到惊讶,但是当您通过电子邮件向他们发送成功攻击他们的机器的报告时,会让您的用户感到惊讶。
这些测试的汇总报告和统计数据应该为您提供一组体面的智能数据点,用于影响经理、用户和高管对安全技术计划的影响。这也是“我们应该定期进行独立/第三方渗透测试”的讨论和规划的良好开端。
更多信息
其他良好的信息来源:
证书:http : //www.cert.org/information-for/system-administrators/
NIST(安全标准、安全和风险管理框架)::http : //csrc.nist.gov/
ISO(安全标准):(看起来我没有足够的声誉来发布两个以上的链接,所以你只需要 Altavista 它^H^H^H^HI 的意思是谷歌它。:))
直接回答您的另一个问题,具体来说,“是否有专门用于信息安全和/或信息管理的角色/职能? ”:
安全“职位”、“团队”或“角色”因公司和部门而异。非常大的公司可能有CISO(首席信息安全官)和相应的组织。更频繁地,我与InfoSec(信息安全,通常作为 IT 组织的一部分,虽然有时是运营或 COO 组织的一部分)合作,偶尔也与NetSec和AppSec(分别为网络安全和应用程序安全)合作。一些公司还将拆分事件响应(检测和响应攻击或违规,然后进行攻击后取证)作为单独的操作功能。在你的角色中,听起来你可以通过在你的角色周围加上InfoSec绰号而受益。
祝阿卡姆好运!
[TL;DR?T*B]