中央情報局前CTO:CEO應關注的九大安全關鍵問題
原創【51CTO.com現場報道】2016年8月5日,以“安全可控·御未來”為主題的2016年首屆C3安全峰會暨中國云安全峰會在成都世紀城會展中心盛大開幕。中央情報局前首席技術官Bob Flores先生出席主論壇并進行了演講。
Bob的演講主題”企業管理層應該關注的9個安全關鍵問題“,以下是51CTO記者美潔現場進行的快速整理筆記。
關鍵問題一:我們的業務、品牌和盈利面臨哪些網絡威脅?
網絡風險是否已經納入我們當前的風險管理框架?
這種風險得到了老板們的認可。他們會不會問:“這不是CSO要考慮的嗎?我們要考慮商業的問題。“
我們采用什么樣的框架?是COBIT5、ISO27001還是NIST?
安全框架應該和商業框架一致。
關鍵問題二:我們是否擁有網絡風險保險?
不知道中國怎么樣,但美國已經非常重視對網絡風險進行保險。、
我們必須知道哪些方面已經納入、或者不能納入網絡風險保險的范圍。
我們要問自己:什么是我們最重要的資產?這一點是否已經體現在我們的網絡風險計劃中。————我問過很多人,50個人往往有50個答案。換言之,他們對網絡風險了解的程度是遠遠不夠的。
關鍵問題三:我們是否了解供應商和服務提供商帶來的風險?
你是否了解合作伙伴的安全控制有多嚴格?他們是從何處鏈接我們的網絡的?他們是否有權存取我們的數據?如果他們出現了安全違規,我們是否能收到通知?我們的合同中對此是否有規定?
前不久,我們隊一個全球金融組織的安全情況進行了實際評估。他們使用第三方公司外包一些業務——他們雇用的都是全球頂尖企業,這個第三方公司處在另外一個國家,他們把數據訪問權交給了這個第三方公司。事的檢測發現,這個第三方公司并沒有做出任何惡意行為,但這個國家的其他組織通過一些手段拿到了這些數據。
關鍵問題四:如何應對安全違規?
如果你是一個企業管理者,你是否反思過,一旦出現安全問題,我們是否有事件響應(IR)小組?誰應該是小組成員?每個人的職責是什么?
此外,如果出現了安全事件,我們應該在何時、用什么樣的方式告知執法單位,還有外部供應商、客戶,當然還有媒體界。
在回答這些問題的時候,不同類型的機構和組織可能答案不同。但無論什么單位,都應該提前準備好這些策略和行動計劃,這樣一旦發生問題,就可以有序地應對。
此外,我們應該多久演練一次計劃?如果只是計劃卻不進行演練,那完全無法達到效果。我的建議是,至少每年都要進行一場演練。一年超過2次其實沒有必要。
關鍵問題五:我們是否了解網絡風險管理和合規性之間的差異?
很多機構和組織都有合規性的要求。他們有內部或者外部的團隊來評估他們的合規性————他們一般稱為審計員。
但是,如果審計人員認為我們合格,我們就真的合格了嗎?這是否意味著我們已經安全了?當然不是,合規和安全完全是兩回事。
關鍵問題六:員工是否了解了他們在網絡風險管理中的作用?
員工是否定期接受了網絡風險培訓?他們是否知道什么是網絡釣魚?遇到安全問題時,員工是否知道該通知誰?平均來說,11%的員工在收到網絡釣魚電子郵件時會中招。
那么,我們有沒有什么方式或者軟件來幫助員工呢?無論是CIO/CSO還是其他管理者,我們都應該及時通過網絡風險演練中對員工進行評估。
關鍵問題七:我們有內部威脅防護計劃嗎?
我們內部對員工的授權體系建立了嗎?哪些用戶能接觸到核心數據?這些用戶是否已經被區別對待——其實目前已經有不少這樣的產品可以幫助企業做到這一點。
我們是否知道員工在網絡上做了些什么?如果他們犯錯了,我們是否能知道?這些只有通過及時的監督才能實現。
關鍵問題八:我們是否共享有關漏洞、威脅和事件的信息?
我們是否有分享信息的機制,包括合作伙伴、客戶,甚至我們的競爭對手?
在美國有一個體系,是政府和企業全方面的信息共享。這件事情無疑是值得提倡的。
關鍵問題九:我們是否倡導安全文化?
我們必須倡導,讓每位員工都了解自己在公司的安全職責。不僅僅是CIO/CSO,每位員工都應該了解公司最貴重的資產是哪些。
我們要問自己,是否有持續的網絡風險培訓計劃?每年培訓一次應該是起碼的要求——不一定就是要把大家都叫在一起,通過網絡培訓也往往可以達到目的。
總結起來,Bob特別強調了如下五個問題:
1,網絡風險是一個業務問題,任何組織的最高層都應該討論并設法解決。
2,合規或者合乎框架十分重要,但由于網絡安全威脅的快速發展,這并不能環節所有風險。
3,針對組織的攻擊,其規模、范圍和嚴重程度很可能在不久的將來升級。
4,內部威脅無論是惡意的還是無意的,都可能給組織帶來最大成都的損失。
5,要提升應對網絡威脅的能力,企業應該更加重視檢測、補救和恢復,而不僅僅是阻止。
51CTO是本次2016年首屆C3安全峰會暨中國云安全峰會的獨家直播媒體。更多相關信息,請參見直播專題http://netsecurity.51cto.com/act/C3/201607。
