由安在新媒体策划并主办的首届超级CSO研修班,于2021年1月圆满结营。18位CSO学员,历时5个月,完成16节次课程的研修学习,经历名企参访、课堂作业和私董会,更有期末3000字/每篇的毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。
首届超级CSO研修班学员分布广泛,包括银行、证券、保险、运营商、能源、传媒、物联网、咨询服务等多个领域,在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。
超级CSO研修班不仅是一届课程,更是契机和起点,希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。
CSO说安全:信息安全建设思考
在甲方的安全建设中,安全体系建设往往是一个长期的工作。需要将人、制度、流程、安全系统等结合当前的业务和公司的现状通盘考虑和规划,从而形成一个整体。在满足安全合规、法律要求的同时,建立并持续运营符合公司实际情况的安全管理体系。
在信息安全日益复杂的当今,国家和监管出台了很多的标准和要求,比如金融行业有等保、PCI DSS、ISO27000、公安、网安等各种监管要求和监管单位。在众多的要求和监管中,我们需要制定很多制度和规范来满足要求。合规要求刻不容缓,毕竟合规是公司的命脉。在安全建设体系落地的过程中存在几个感受
►无法落地的制度和流程文档
►彼此独立的安全系统,没有生态
►无法处理的各种警报
►甚至不知道安全水位在哪里
在这种状态下,每天疲于救火,不是在救火就是在救火的路上。安全的价值体现在什么地方?
一个人的安全部还是一群人的安全部,安全在企业的发展,存在如下三个状态:
►安全跑在业务前面
从安全维度全面保障和支撑公司业务正常运营和快速发展,领先竞争对手,在商业竞争中处于主动地位;
►安全与业务同步发展
勉强支撑和保障公司的业务正常运营和发展,大多时候充当救火员的角色;
►安全滞后
无力应对企业面临的网络攻击和无法有效控制风险,安全成为影响公司正常运营和业务增长的瓶颈和风险点。
针对内网的网络环境、网络设备、安全系统、安全设备、告警日志、权限管控,在人力和资源相对匮乏的情况下,分析一定会漏、响应一定会慢、投入一定不足。那么安全怎么低成本高回报呢?
在企业,业务发展是第一要素,安全仅仅是业务的一个属性。很多时候安全也被业务看成发展中的绊脚石。上线要检测,发布要审批,这也不行那也不行。往往信息安全部门会收到大量业务相关部门的吐槽,快速迭代发布,严重影响效率,影响效率就等于断人财路,往大了说那就是阻碍公司发展。那么,安全怎么推动?
人力资源在甲方安全建设非常重要,暂时把安全人员分为三类:
►甲方小厂安全人员
►甲方大厂安全人员
►乙方安全人员
小厂的安全人员比较全面,多方面发展,能做合规还能挖漏洞,懂体系又懂技术属于“一”字型人才。所谓“一”字型人才,就是没有特别突出的点,安全建设“万金油”,一个人的安全部,能打能抗,适合中小企业负责人的角色,但是很难在大厂的竞争或者面试中胜出。这样的人要么去熬“资历”后去大厂做管理人才,要么小厂一直发展下去。大厂需要的基本属于螺丝钉,安全架构和安全体系基本已经成型,需要你进去按照某一个方面发展即可。但是这样也存在一个问题,很多安全人员找不到自己的价值,面试“造火箭”,入职“拧螺丝”,每天重复性的工作,导致部分安全人员失去斗志,每天在自己的岗位上无所事事,“温水煮青蛙”,最终导致团队出现问题,个人职业发展出现问题,如何发挥人的价值,怎么让安全人员有成绩感成了安全管理迫切的问题。
在企业安全的建设和管理中,需要平衡做到低投入高产出,提升管理手段,减少对业务的影响,尽量全面地建设防护体系,降低安全水位。成就个人,提升员工价值。
从安全制度到流程控制,再到安全运营,最后关联到公司内的各种安全系统,这里面存在的关联关系需要清晰。安全制度和安全基础体系需要结合技术手段去落地,在开放的互联网企业,不能依靠强硬的手段和措施来制约。
企业在试图从总体安全架构上保护安全环境时,往往需要谨慎地选择。很多企业都是以点的方式部署安全产品,试图通过单一的方式来解决所有问题。大多数企业没有考虑建立一个安全架构,而是关注业务发展的安全需求。只实施业务必须的控制手段和措施来维持运营,然后根据业务增长调整。这种模式,导致需要产生大量的救火英雄。企业定义安全架构,将其作为实施解决方案的指南,确保满足业务发展的需要,同时针对组织环境提供标准化的保护手段,降低组织发生意外事件的概率。
如何建议一套完整的架构,要注意架构框架和实际架构的区别。使用框架可指导建立一个最适合公司需求的框架。每家公司各不相同,每家公司不同的业务形态,不同的业务驱动。不同的安全保护目标,不同的监管合规要求,还包括不同的企业文化和不同的组织架构。
从利益方角度出发,确认我们需要关注的视角,视角可以最有效地解释不同利益方最关注的信息。管理层人员需要从业务运营视角理解,业务流程开发人员需要理解务必收集什么类型的信息来支撑业务,开发人员需要理解维护和处理信息的系统需求。基础架构需要理解支撑各层面的网络组件。
企业安全架构定义了信息安全战略,包括各层级的解决方案、流程和程序,以及他们与整个企业的战略、战术和运营的映射方式。
►战略一致性
企业安全架构必须能够满足业务运营驱动、监管合规和法律法规要求。
►业务赋能
业务赋能要求核心业务流程必须集成到安全运营模型中,基于标准设计而且符合风险容忍度。每个组织都不可能为了安全目的而存在。安全不是业务发展的绊脚石。
►流程强化
充分发挥流程的强大优势,有助于企业的发展。组织开发安全组件时,需要将其有效地集成到业务流程中去。业务赋能意味着“可开展新业务”,流程强化则意味“可更好地开展业务”
企业安全体系架构的建立是一个逐步推进的过程,也是一个系统化的工程。从救火阶段,基础安全建设,保障核心业务和数据,保障公司整体安全,持续化、最佳实践、对外输出,安全整体能力逐步上升。
确定好组织基础的安全架构体系,做好基础建设防护,该上的产品都堆上去了,优秀的安全工程师搞定了很多漏洞,开发了很多系统,这样系统就安全了吗?当然不是这样的,我们依然存在很多漏洞,依然被攻击者搞定。安全怎么持续把风险维持到一个可接受的水位,就需要安全持续运营。
尽管运营安全就是为了持续维护整体环境在必要的安全水平运行的一系列行为,但在执行这些任务的同时,义务和法律责任也随之而来。公司以及公司的高级管理层同样有法定义务来确保资源受到保护,有适当的安全措施和经过测试的安全机制。用这样的方式保证其具有适当级别的保护。
组织还必须考虑很多威胁,包括机密信息的泄露、资产失窃、数据受损、服务中断以及物理或逻辑环境的破坏。识别并标识敏感的(需要保护其不被泄露)和重要的(需要随时保持可用性)系统和运营活动。
安全运营需要不断的发现问题,分析问题,解决问题,检验问题,持续地跟踪不断地优化迭代的过程。
很多安全人员抱怨安全设备失效,安全功能策略错误,功能没开。每天重复性地干活,没有统一的解决方案,甚至到流程都没有有效的控制,端口开放,漏洞上线。解决这些问题,不仅仅需要说设备用起来,功能开起来那么简单。我们需要做到如下:
标准化:需要制定标准的SOP,保证人员能力足够解决发现的问题
流程化:制定运营流程,保证所有问题都被及时响应,及时处理,及时解决
工程化:把能力工具化,保证安全能力快速输出给业务和人员,安全赋能
自动化:解决海量问题,结合工程师的安全能力与机器快速处理和解决问题,也可以把重复无价值的工作用机器来代替,提升人的成就感。一个完善的安全运营体系,需要包含防护检测,响应分析,调查处置,复盘评估,完善加固,一个环形的流程,形成安全运营闭环。
安全运营当然需要评价运营的效果,不同阶段有不同的安全评价指标。在安全产品的交付期,评价指标应该是是否能如期交付,在产品的推广期,运营评价指标是覆盖率,正常率等;在产品的运营期,评价指标则是产品的数据完整度、误报数等;在产品成熟期,评价指标则变成检出率、策略覆盖度等。
还需要重点关注的是,虽然组织的大部分运营活动都与计算机资源密切相关,但仍依赖于物理资源的使用,包括纸质文档、存储在微缩胶卷、磁带和其他可移动介质上的数据。运营安全在很大程度上也要确保物理和环境的问题得到足够关注和充分解决,如温湿度控制、介质的重复利用、处置以及包含敏感数据的介质的销毁。安全永远是一个动态变化动态运营的过程。
首届超级CSO研修班已圆满结营,第二届超级CSO研修班正在筹备,按照计划,2021年中会正式开营。如果你是企业或机构的CSO/CISO/信息安全总监/信息安全主管,如果你想进一步拓展知识、提升眼界、广结人脉、突破自我,想更好地胜任CSO职位并探索更高阶职业发展,那么,超级CSO研修班绝对是你不二之选!
早报道早抢位,有意向者,请洽
椰子
推荐阅读
齐心抗疫 与你同在 
本文始发于微信公众号(安在):CSO说安全 | 廖位明:信息安全建设思考
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论