策划安全策略:应询问的三个核心问题

安全团队面临着不断增长的需求,需要去保护他们的信息安全。同时,各公司的 CEO 们也正在思考,怎样确保跨地理区域公司的信息安全。他们都喜欢一个复杂的问题能有一个简单的答案:我要从哪里开始?而这正是本文所要讨论的。

Jack Danahy, 安全副总裁, CTO 办公室, IBM

Jack Danahy 照片Jack Danahy 是 IBM Rational 软件负责安全的 CTO 部门高层经理。他是 Ounce Labs 的前首席技术官员,Ounce Labs 于 2009 年 7 月被 IBM 收购。他同时是行业最著名的数据安全和应用程序安全的提倡者。Danahy 拥有五个安全技术专利,并且在数据保密、安全以及计算机安全和计算机威胁方面,是行业和国家安全工作组的贡献者。他的博客是 Smart Grid Security



2009 年 1 月 14 日

网络安全问题愈发突出,信息的渗透性访问问题也愈发严重,CISO 在稳固公司的安全性基础以保护信息资源方面,面临的需求也愈加强烈。同时,CEO 们在思考怎样才能找到一条行之有效的方法,去部署资源和财力,并确保公司内部的信息安全,这些公司在地理分布上一般都是分散的。对于 CISO 们以及 CEO 们来说,为复杂的问题找到一条简单的解决之道,是他们面临的共同问题。

“我应该从什么产品开始?”是一般面临的第一个问题,但是可能这是一个不应该询问的问题。除非您已经经历过严重的颠覆性安全问题,例如商业安全欺诈问题,否则问这个问题为时尚早。安全政策执行的首要策略,更有可能是通过一个约定俗成的过程来开发的。

在开出处方之前,每一个公司都需要审视一下自己以。

尽管接下来可能有上百个问题要问,但是在考虑开始时最核心的问题只有三个:

  1. 第一个问题:为什么您要这样做?
  2. 第二个问题:您在努力保护着什么?
  3. 第三个问题:如果我们没有做好它将会发生什么?

第 1 个问题:为什么您要这样做?

没有人会怀疑他们需要一个更好的安全机制,因为现在他们相信安全问题永远排在公司所考虑问题的首列。因为总有一些事情会发生。提供对安全性威胁警告的一次课程、一个网络传播或者研讨班,都有可能成为催化剂,又或者有人听到他们供职的公司收到了安全性威胁。通常来说,员工们需要处理安全性问题,或者由管理员,或者审计员,或者经理来强化安全防御机制。

您的动机不同,那么您执行的第一步也有可能不同。如果您公司的安全机制受到了破坏,那么显然您需要完成筛选分类工作,并完成正在执行的操作。为什么您要这样做这个主要问题的简单答案,是您的公司对这个感兴趣。因此,理解为什么您的公司不够安全,是一个不错的起始点。这就提供了一个更加集中的目标,以及公共的语言以及内容,使用它们可以讨论内部安全问题。


第二个问题:您在努力保护着什么?

这个问题是针对那些最近入行的新人所提出的,但是对于那些思考评审过程的执行的公司成员来说,思考这个问题可能是十分具有前瞻性的。很多情况下,我们努力保护的主要对象是“我的网络”,但是如果给您更多的时间考虑,您可能还会回答“我的数据”、“我的业务”又或者“我的时间”。

根据您的目标,您对这个问题的答案可能会引发其他的问题,例如您需要保护的资源的主体是什么。所谓的安全通常是最模糊的概念原则,它需要彻底的检查以得出您实际上需要什么的答案。在没有实际战略的情况下,可以推测有一些方法可以使之变得更好,但是很少有公司只想“变得更好”。大多数的公司至少想要“变得足够好”,而“变得足够好”与最初要保护什么紧密相关:它究竟要变得有多安全。


第三个问题:如果我们没有做好它将会发生什么?

人类的本性,或者至少它最高贵的部分,指引我们去做最正确的事情。我想人们询问关于安全的建议,因为他们想让事情变得更加合理,工作的结果更加满意,这些都使得事情向好的方向发展。不幸的是,在很多情况下,当人们面临金融、复杂以及变幻莫测的冷酷现实时,他们对安全性孜孜追求的热情,就会被泼一盆冷水。安全,并不是免费的,好的安全更不是容易的,也不是便宜的。

在所有新安全过程的起始阶段,或者在对一个已存在安全项目所做扩展起始阶段,询问“如果我们没有做好它将会发生什么”,十分重要,因为知道它是否是 必需的 抑或只是一种兴趣,将会在作出需要的抉择时组成所有的区别。

如果失败意味着工作、收益、荣誉的丢失,那么在职业生涯内苦苦挣扎的人,或者那些寻找有效处理安全问题方法的人来说,就算问题看起来很棘手,可能有强劲的动力。另一方面,如果失败意味着私人的状态报告被标成黄色的(警告的符号),那么管理员需要签订一份弃权证书,或者让销售商得到一份措辞强烈的信件,安全负责人应该时刻记住在什么时候将问题升级或者忽略。

安全 并不是一个有着严格定义意义的词,所以应该总是根据具体情况来理解它。这里讨论的三个问题,以及它们反过来产生的问题,又会有助于创建一种环境,在这种环境下安全意图与公司可以实现的现实之间会达到一种平衡状态。

如果您想要了解更多关于 CISO 与 CEOs 安全视角的当前状态的信息,那么您可以阅读“为数据保护构建业务用例”报告(参见 参考资料)。这项研究由 Ponemon 研究院执行,由 Ounce Labs 赞助,后者已经是一家 IBM® 旗下的公司。

参考资料

学习

获得产品和技术

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=Rational
ArticleID=461659
ArticleTitle=策划安全策略:应询问的三个核心问题
publish-date=01142009