写在前面:本文和上篇都是关于网络安全的管理,我们在给客户介绍方案的时候,除了具体的技术解决方案,还要紧跟行业最佳实践,站在管理者的角度,帮助客户思考,才能获得客户认可。这几天做一个咨询项目,关于网络安全架构的设计,这个文档正好有些内容可以参考。

询问 CISO 的12个网络安全问题

    监管压力(最引人注目的是GDPR)和网络及信息系统安全指令(Directive

on Security of Network and Information Systems,NIS)、越来越依赖技术和大数据,以及不断变化的威胁环境要求组织有重大义务减少他们的网络风险。

    网络安全影响到所有行业、各种规模的公司。威胁很严重,持续变化、法律和监管要求也在不断增加。管理层与董事会定期沟通网络安全问题,是保护企业利益和保证责任的关键。

    网络安全不再只和CIO有关,找到了它应有的位置:位于董事会会议室的中心和前列。

    尽管如此,只有不到50%的公司董事会持这种观点,积极参与制定安全策略。普华永道2017年全球信息安全状况报告(GSIS)调查显示,只有39%的董事会参与制定安全政策,只有31%审核过安全和隐私风险。

    虽然董事会和CEO可能不需要要知道某种恶意软件是如何侵入防火墙,他们需要知道他们的组织如何解决这些威胁。

    董事会层面的讨论应该包括避免、接受、减轻或转移哪些风险(通过网络保险),以及审查与每种方法相关联的具体计划。

    董事会还必须确保CISO在组织内进行报告的合适级别。有时候,CIO的议程和CISO是冲突。因此,一些CISO现在直接向CEO、COO或CRO报告。(调查报告显示,40%的CISO直接向CEO报告,而只有27%的人向CIO汇报)。

    有效的网络安全是一个持续的过程。在正确信息的武装下,董事会就能在防患于未然方面发挥重要作用。

治理、合规和数据泄露风险

    很明显,违法行为会带来巨大的法律、财务和声誉方面的严重后果。GDPR会让董事会承担更大的责任,解决信息治理和数据隐私问题,或者面临惊人的经济处罚。

    网络安全和合规是持续过程,必须进行定期测试、维护和更新。没有执行和维护基本的安全实践,可能会明显削弱组织在数据泄露事件中的法律辩护。

实现信息安全合规的国际基准

    ISO 27001是描述信息安全管理系统(ISMS)最佳实践的国际标准。ISMS是一个由流程、文件、技术和人员组成的系统,帮助管理、监控和审计组织的信息安全计划。获得ISO 27001认证表明一个组织遵循信息安全最佳实践,并提供独立的专家评估数据是否根据全球最佳实践得到保护。ISO 27001认证向股东、董事会、客户和监管机构提供了令人信服的证据,证明一个组织已经采取了合理的措施来保护自己不受数据泄露的影响。

信息安全还是网络安全

    信息安全与网络安全密切相关。网络安全被定义为保护信息不受网络攻击。信息安全是一个更广泛的术语,描述了保护信息和信息系统免受未经授权的访问、使用、暴露、中断、修改或破坏,以提供保密性、完整性和可用性(CIA)。网络安全通常被视为信息安全的一个组成部分。

ISMS 如何保证持续、强化的安全

  • ISMS帮助管理所有格式的数据,包括数字、纸质和个人信息。
  • 它可以帮助公司抵御技术风险和更常见的威胁,比如员工信息不灵通,流程薄弱。
  • 风险评估与分析方法减少增加安全保护层的成本。
  • 它能适应环境的变化在组织内部减少不断变化风险带来的威胁
  • 它确保信息安全嵌入到业务之中,改善组织安全文化。
  • 它关注的是数据的机密性,完整性和可用性。
  • 它能让企业面对网络攻击,变得更加有韧性。
  • 持续改进、监控、内部审核和纠正措施确保控制保持最新。

问题1 我们组织面对的风险是什么?

    据Gartner称,到2020年,全球2000家公司中有30%将直接受到由网络活动人士或网络罪犯组成的独立组织的攻击。组织需要通过识别安全漏洞及其对业务的影响来优先考虑真正的风险,并确保分配管理这些风险的对应预算。董事会还应自问,他们是否充分了解与网络安全相关的适用(和新兴)法律、监管和合同要求的影响

问题2 出现问题之前,我们测试系统吗?

    有许多测试可以评估系统、网络和应用程序的漏洞。

    任何安全制度的一个重要组成部分都应该是定期渗透测试。渗透测试是对计算机系统的模拟攻击,目的是发现可能被利用的安全弱点。它有助于确定是否正确地遵循了关键流程,如打补丁和配置管理。许多公司没有进行常规的渗透测试,错误地认为自己是安全的,但新的漏洞和威胁每天都在出现,这要求公司不断测试自己对新出现的威胁的防御能力。

问题3 我们是否在进行全面和定期的信息安全风险评估?

    风险评估应向董事会保证已考虑到所有相关风险,对风险评估结果的沟通和采取的行动,有通用的定义和理解方法。

    不能确定风险与漏洞有关时,组织经常无法协调修复工作和资源。这种方法不仅浪费时间和金钱,还扩大了犯罪黑客利用严重漏洞的机会窗口。

    由于威胁(已知或未知)是利用漏洞(如过时软件)的结果,因此这种关系必须是风险评估过程中的关键因素。高级安全运维团队使用威胁情报来了解潜在威胁攻击者的能力和采取的活动及计划,并预测当前和未来的威胁。

问题4 我们如何证明安全控制遵从合规?

    审计可以支持董事会了解其网络安全控制有效性的需要。如果一个组织选择遵从信息安全标准,如ISO 27001,认证机构可以对其信息安全控制进行独立审查,并可作为该组织对信息安全承诺的证据。

    这可以在投标新业务时用作竞争优势,就像通过ISO 27001认证的公司一样。认证还可以提供令人信服的证据,证明一个组织在保护其信息资产方面采取了适当的措施。

问题5 我们是否存在有效的信息安全意识培训

    大量的违规行为是由雇员的错误或疏忽造成的。事实上,GSIS的调查显示,员工应对27%的网络安全事件负责。社会工程学仍然是一种常见的策略,罪犯可以通过卑鄙的方法,利用不小心或不知情的员工(例如通过恶意链接分发恶意软件),侵入网络。

    有效的员工意识培训重要性再怎么强调也不为过。研究表明,传统的网络安全意识措施可以通过一项多方面的安全计划得到极大的增强,该计划可以彻底改变企业文化,并解决员工根深蒂固的错误行为

问题6 面对数据泄露事故,我们的响应计划是什么?

    网络安全专家都同意,你不是“是否”被入侵的问题,而是“何时”被入侵的问题。能够在数据泄露中幸存下来的组织与无法幸存的组织之间的关键区别在于网络弹性战略的实施,该战略将事件响应计划、业务连续性管理(BCM)和灾难恢复战略考虑在内,以尽可能减少对业务的破坏,从网络攻击中恢复过来。

    该委员会还应该了解规定其披露数据泄露责任的法律。NIS Directive 和GDPR都是引入企业泄露通知义务的立法例子。

问题7 我们购买了足够的网络保险吗?

    最近的报告显示,网络保险不足以保护公司免受全面的网络攻击。虽然很难量化一次数据泄露的成本,但是关于你所在行业的其他数据泄露的信息应该能提供你的组织可能面临的潜在损害的参考。2017年IBM数据泄露成本研究显示,企业数据泄露的平均总成本为362万美元(292万欧元)。许多组织没有意识到他们对数据泄露负有责任,即使数据存储在云里,或者与之共享信息的第三方被泄露。

问题8 我们是否符合领先的信息安全框架或标准?

    包括领先的国际信息安全管理标准,ISO 27001,支付卡行业数据安全标准(PCI DSS)和Cyber Essentials方案(针对80%的网络攻击提供基本的网络安全保护)。

    通过ISO 27001等领先国际标准的认证意味着公司在网络安全方面采用了经过验证的最佳实践,并提出了一种全面的方法,不仅保护在线信息,还保护与人员和流程相关的风险。组织也可以选择独立的认证,以验证其实施的控制是否按预期工作。

问题9 我们的信息安全预算是否花费合理?

    设置信息安全预算不仅仅是为了有更多的钱来购买更多的技术来修复网络安全漏洞:关键是采取战略性的预算分配方法,以真正改变组织的信息安全状况。提高安全并不意味着增加技术。事实上,单靠技术并不能保护你的企业免受无处不在的威胁。

    组织需要通过优先考虑应该采取哪些步骤来遵守现行法律,并优先考虑阻止和处理攻击,来保障其持续的安全状态。

问题10 我们实现网络可视化了吗?

    糟糕的网络行为可视性会对组织造成严重破坏。2017年IBM数据泄露成本研究显示,检测数据泄露的平均时间是191天。

    许多管理员对网络和安全情报的访问不够深入,无法准确了解实际情况,并且缺乏能够快速识别、解释和处理威胁的工具。

    IT和安全团队应该被赋能在网络上保持清晰和持续的可视性。

问题1 1 我们风险登记表包含供应商风险和供应链风险吗?

    网络威胁可能通过供应链上任何数量的漏洞入侵组织。供应链内任何一个组织的网络安全强度,等同于供应链中最薄弱环节的安全强度。通常是供应链中较小的组织,由于资源有限,网络安全最弱。解决供应商风险需要一种广泛、包容的方法,允许组织识别其在供应链中的位置,并绘制其网络安全依赖关系和漏洞。

    组织应该实施多个相关方参与供应链风险评估过程,尽可能多供应链成员参与。

问题1 2 我们上一次测试灾难恢复是什么时候?

    Ponemon Institute 的《2017年数据泄露成本研究:业务连续性管理的影响》显示,BCM项目大大缩短了识别和控制数据泄露的时间。

    有效的BCM帮助企业在识别入侵方面节省了43天,在遏制入侵方面节省了35天。必须定期测试BCM和灾难恢复计划,以确定业务是否能在遭受攻击后迅速恢复。一些“如果会怎样”的想法应该了解后备方案本身对于网络攻击有多么脆弱。例如,对您的数据的恶意攻击可能在一段时间内无法检测到,备份数据也可能已被破坏。

关于IT Governance 

    IT Governance是信息安全和网络风险管理领域的国际权威机构。我们根据国际最佳实践和框架、为全球企业提供最关键问题和当前的成本及风险降低的解决方案。我们独特的技术专长和扎实的国际管理体系标准经历,意味着我们从开始到结束管理项目,可以提供完整的解决方案。我们与客户并肩工作,帮助他们保护和确保他们的知识资本,遵守相关法规,改善他们的防御和部署策略,使整个业务受益。

    我们领导了超过600 个ISO 27001项目的实施和认证,是推行和认证ISO 27001的先行者。BS 7799是ISO27001的先驱,从我们的两位董事领导了世界上第一个BS 7799认证开始,我们的ISO/IEC 27001咨询服务使用具有15年发展和磨练历史的方法和工具。

    我们提供全面的解决方案,帮助客户满足其网络安全需求,包括培训课程、出版物、员工意识计划、政策和流程工具包、咨询服务和合规软件。