博客

每个CISO在其安全剧本中需要什么

安全

由Martyn Booth

| 最小

当今的快速,不断变化的安全格局,无论是隐私和监管政策,各种威胁还是内部业务管理挑战,都在不断挑战首席信息安全官以刷新其剧本。

Euromoney机构投资者PLC(Euromoney)的CISO集团Martyn Booth对当前的变化和挑战发表了他的看法,CISO应采用的方法来克服它们。

Euromoney是一家FTSE 250信息服务公司,拥有60-70家雇用2500名员工的个人企业,涵盖了活动,商品定价,资产管理和投资策略出版物。

建立强大的云安全策略

策略是一个很好的起点,特别是“设计安全性”的概念。信息安全专业人员经常谈论在构建其应用程序(无论是在本地还是在云中)时创建“安全性”。

有人认为,您无法将安全性整合到持续的构建过程中,因为它阻碍了更敏捷的开发方法。我不同意。敏捷和DevOps方法确实确实与安全性很好,而传统的瀑布模型对于有效的安全整合可能会稍微麻烦。

在DevOps或Agile模型中,您可以在项目中的早期进行测试,而不是在部署阶段作为秒架检查。然后,它成为一个连续的过程,在创建时检查了所开发的应用程序的安全性。这与传统的执行分析方式相反,在申请完成并在部署之前进行了所有安全评估,从而产生了重要的瓶颈。

每天运行静态代码分析会导致您的开发人员完成的任务列表。只要在部署之前解决了最重要的问题,就不需要完整的代码分析。

使用自动化进行更快的安全集成

开发人员通常希望创建出色的产品,但不一定是安全专家。不能指望他们以安全的方式自动了解处理机密客户数据所需的一切。

我们通过Design创建了一个用于安全性和隐私的过程,这是一种修改的工作流工具,旨在定义尽可能多的安全控件。它首先要填写有关新项目或主动性的尽可能多的细节,无论是新产品还是主要的内部更改:

  • 它将处理什么样的数据?
  • 它将如何交换数据?
  • 会涉及任何第三方吗?

该信息源于自动化风险剖面,这表明根据应用程序的种类,高,中或低风险。然后,它暗示了一组安全控件,我们希望在该产品准备启动之前应用。

它根据应用程序是低风险还是高风险建议,建议使用不同的安全流程,并在安全团队的指导下列出这些建议。

此过程使清楚地显示需要制定产品的安全控制变得更加容易,并有助于避免可能导致需要拉下项目的项目。

从自动化到自主权

在Euromoney,我们为人力资源,法律,信息安全,I.T和Finance等业务部门提供了中心支持,但它们都依靠。

这意味着每个业务部门都可以增长和灵活,但也得到了总体中央集团的支持。其他联邦业务也以类似的方式运营。

尽管每个业务都从自己的战略和方法中受益,但政策和法规的持续变化可能会使管理整个组织的单个安全模型更具挑战性。

一种选择是我们在Euromoney采用的“信任和验证”模型。在这里,我们认为业务正在做正确的事情。但是,我们提供详细的指导,然后进行检查以确保一切运转良好,并且没有遗漏的区域或误解要求。

有一个三步的方法:

  1. 设定了中心期望,政策和标准,这些期望清楚地阐明了应该如何做。
    我们有具有严格部署规则的Azure和AWS标准,然后我们以风险评估的样本为基础检查它们。
    风险评估员检查这些业务并查看一系列标准。如果不符合标准,可能表明我们需要采取行动,通常是通过增加检查。

  2. 其次,运行自动控件以执行一些检查。
    同样,以云为例,像Qualys这样的工具使我们能够插入所创建的标准,并在看到政策与我​​们期望的不同时提醒我们。这种工具为我们提供了额外的自动保证。

  3. 最后,直接执行政策
    可能有必要直接执行政策。例如,Azure实施是由中央管理的,因此我们可以选择自动限制我们不希望操作的特定策略。
    相反,我们的AWS实现更加轻松地处理,我们通常不会集中控制它。我们希望这些是运行标准的,我们将它们插入我们的监视解决方案中,从而使我们能够通知团队,即使政策摆脱了期望。

处理攻击后恢复

不管您组织的风险偏好如何,对安全漏洞的心态而言,这是一个明智的策略。这听起来可能违反直觉,但是如果组织报告了许多事件,则可以很好地表明其信息安全成熟度(他们检测事件的能力可能表明没有报告任何事件的组织上方的成熟程度,可能是因为他们有没有侦探能力来识别它们)。但是,在每种情况下都是如此。不断报告相同事件的组织可能表明可能缺乏适当路线的事件管理流程会导致分析。

公司应为不可避免的准备做准备,并为提前的任何潜在安全漏洞做好准备。在Euromoney,我们拥有一个团队,擅长管理这些情况并熟悉我们的系统。他们做很多工作要理解:

  • 违规涉及什么
  • 可能有多广泛
  • 可能的损害是什么
  • 如何控制它以最大程度地减少传播

大多数公司仍处于反应道路上。一旦他们知道自己发生了事件或违规,他们通常会擅长调查它。但是,他们并不擅长主动监控,发现问题并在问题成为问题之前解决问题。

同样,出色的监视工具可以帮助您。事件将发生,无论您的主动监控能力如何。至关重要的是要确保您对事件管理以及在发生事件时该做什么的明确政策。一个好的工具需要得到一个好的团队(以有效的时间和适当的时间覆盖)和良好的监视策略(以确定正确的来源并确保企业正在寻找正确的事物)。

为了始终如一地帮助管理事件,创建一本安全剧本,详细说明在任何事件之后要经历的步骤,使用决策树,显示您在某些情况下应该做什么以及正式的升级路径,详细介绍了谁应该被告知以及在哪个阶段。同样重要的是要明确规定谁应该与
媒体如果事件被认为足够重要。当不遵循正式的沟通过程时,您会感到惊讶的是,有人不会被告知重要的事情。

无论何时可以与合理的方案以及团队的其他成员进行测试本剧本。

事件经理可以做出很大的不同,对于任何全球组织来说,重要的是要拥有一支训练有素的团队,该团队涵盖了一天中的所有时区和小时数。

在经济衰退中管理安全

我们不能忽略经济衰退,也许是我们第二次世界大战以来所见过的最大的经济衰退。这自然会对预算和资源施加压力,而金融服务组织仍将受到挑战以进行创新但保持安全。这会给我自己和CISO添加压力吗?

从预算的角度来看,尽管许多人正在评估他们的总体安全策略,以应付经济衰退的要求,但考虑到不断变化的业务态度,但安全预算不太可能会被明确削减。但是一些组织将不得不全面削减,并且安全性可能会在不同程度上受到打击。

每个管理团队自然都会查看不提供价值的领域和工具,并考虑是否可以在没有明显风险的情况下削减它们。当企业削减而没有得到安全团队的通知时,可能会发生问题,这将导致更多事件。您遇到的事件越多,很难迅速恢复。这将以多种方式进一步影响业​​务。

因此,对于每个CISO,重要的是要了解您与业务的位置,使组织的其余部分通知您要缓解哪些风险,如果某些领域没有充分资金,则将出现哪些风险。一种方法是通过指标。Euromoney的所有关键安全计划均由
报告的计划使高级管理人员通知了为什么控制权以及它们的有效性。这有助于解释对控制格局进行更改以降低成本的现实影响。反过来,这有助于安全函数证明某些决策的后果。

企业每天都有风险,如果他们选择冒险冒险,那么CISO的角色是使企业了解他们希望承担的风险的后果。但是,只有通过保持知情和报告计划的方式才能做出这一决定,有助于实现CISO越来越多地要求成为一个值得信赖的商业伙伴,而不仅仅是做一些技术以确保组织在后台安全的人。

为明天世界的挑战做准备

增加威胁和技能差距增加 /变化法规,通常被视为信息和数据安全领导者的关键未来挑战。

但是,实际上,这取决于您的业务要实现的目标,您担心的风险以及您运营的环境。例如,银行和数据公司将来将面临不同的挑战。

变革的步伐是许多组织面临的重大挑战。大多数安全功能根本没有设计或准备以今天有效的速度进行更改。

这是我的三个关键建议:

  1. 使用指标来快速响应
    我们评估环境的方式可能会有根本的变化。现在,您的风险评估一切,并告知您接触多少风险以及如何减轻风险。
    但这很麻烦,因此将来,规划场景可能会变得更加普遍。有了清晰透明的风险指标,您可以就与安全有关的事项做出即时决定。
    没有指标,就不可能有效地衡量风险。但是,有了足够的信息,您可以将它们结合在一起,看看业务的哪些领域有风险,并且可能无法控制。

  2. 保留关键人才
    无论您支付多少最熟练的人,如果他们有需求,总会有人愿意支付更高的费用。如果他们走了,他们的知识与他们同在。
    对于安全部门而言,失去天生知识并保持安全功能顺利进行,这是极大的破坏。如果人们经常离开,它可能会严重影响您平稳有效地操作的能力。
    它可以为员工提供动力,而不仅仅是他们的薪水。它有助于发展他们,将它们作为个人发展,并提供额外的东西,使他们想要留下。在其角色的某些方面提供一定程度的自主权和所有权,将使他们感到属于安全策略的一部分,而不仅仅是可更换的组件。

  3. 为云做准备
    您会经常阅读和听到此信息,但是很多业务和安全功能完全没有为云基础架构做好准备。例如,数据中心和云项目之间的安全过程大不相同,而管理两者的技能在业务界并不常见。
    云的缺点是设置的容易程度。这意味着在我们看不到的地方的基础架构,显然它不受指标或测试的涵盖。这使其成为被违反的主要目标。

So in summary, the future issues you may encounter include today’s fast pace of change, the lack of and retaining of skills, and then making sure that you’re transitioning those skills to cope with the most recent threats, which in the cloud landscape is slightly different to what many businesses have become accustomed to. For more insights and advice around information security and cloud transformation, check out our other articles and podcasts on The Financial Services Cloud Hub.

金融服务云转换中心是由Nutanix带给您的。

©2021 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标和所有Nutanix产品,此处提到的功能和服务名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。我们决定链接到外部站点的决定不应被视为对该站点上任何内容的认可。这篇文章可能包含明确和暗示的前瞻性陈述,这些陈述不是历史事实,而是基于我们当前的期望,估计和信念。此类陈述的准确性涉及风险和不确定性,并取决于未来的事件,包括可能无法控制的事件,实际结果可能与此类陈述所预期或暗示的事件差异。本文所包含的任何前瞻性陈述仅在本文之日起说,除非法律要求,否则我们没有义务更新或以其他方式修改任何此类前瞻性陈述,以反映后续事件或情况。
Baidu