新闻资讯

重新思考IT,构建新安全模型的五个维度

2014-04-22 Ever 3

“我们将在海滩上作战,我们将在着陆地面作战,我们将在田野和街头作战,我们将在山区作战,我们决不投降!”温斯顿•丘吉尔在1940年6月发表了他著名的演说,当时英国面临纳粹的攻击。丘吉尔当年对胜利目标的承诺,“但道路可能是漫长而艰难的,”对当前企业面临的安全战役,是一个恰当的比喻。

坏人是持久的,复杂的,他们正在做突袭。情况不容乐观:当客户、投资者和监管者期望我们完全保护珍贵的资产和保护隐私,而我们所依赖的一些政府和供应商本身,正在损害我们的数据、软件和网络。

安全的斗争比以往任何时候都更加艰难。大多数组织正在使用昨天的工具和方法应对今天的战争-诸如以密码和防火墙保护周边-结果并不如意。过去的方式过分地强调隔绝我们的数据和系统,以及一个错位的信念,即安全边界的方法是适当的。

曾经担任迪斯尼、福特、旭电和大展集团全球CIO的Bud Mathaisel,通过与数十名安全专家、行业专家和企业高管的对话,描绘了一个对今天来说更好的安全框架。以下是该框架的一些说明。

着眼于风险和人,而不仅仅是设备和数据

一个更好的防御方法是围绕风险的观念模式建立。是的,一个关键的风险是关键或敏感数据的丢失,所以你必须充分地保护数据。不过,还有其他的风险,如业务运营中断,名誉损害,违反法规,投资风险和知识产权损失。哪些危险可能对你伤害最大?你如何评价威胁?你将如何抵御这些威胁,将影响降到最低?边界的保护往往不能解决这些问题。

例如,信用卡处理公司Visa国际组织承担其所有流程全面的风险评估,包括技术在哪里支持这些业务流程,但不限于此。“风险是其中的一个漏洞形成了威胁,而以整体观念考虑风险是一个安全方法坚实可靠的基础,”前Visa信息安全、治理、风险和法规遵从副总裁George Totev说。

从本质上说,风险评估就是当你购买保险时你在做什么。当你买保险的时候,你(或者至少你的保险公司)都在思考导致不良后果的漏洞。

风险评估和风险保护随着行业和企业的不同而不同。有些需要技术的使用,有些需要过程的改变,有些需要人们的行为改变。某些机构还被迫解决出于监管需求而无关自身风险分析的某种形式的安全风险。他们关注的焦点变为有效地满足该要求,而不会对他们的业务、财务状况或策略造成不必要的负担。

无论一个公司的风险理念和它的外部需求,选择和专注于最高的风险是实用的方法。

但如何把重点放在那些风险?大部分公司和安全厂商业都把安全当做一项技术挑战。他们想要让软件、硬件和服务识别和降低风险。很少涉及他们的人——创建和使用被保护信息的那些人。许多组织积极从自己的安全方法排除人,因为他们不信任的人。

没有安全的技术银弹,并且自动化排除人的安全方程式,会导致人们懒惰,或对安全漠不关心的不利结果。毕竟,IT人员会照顾它,并在有泄漏或破坏时承担责任。

这就是为什么今天的安全策略必须改变主要防御重点从设备到人。今天成功的关键攻击涉及到人,他们可能使用社会工程学的方法,如网络钓鱼,拦截自动销售终端上的硬件。

安全是风险相对论的动态博弈,也就是说,你的防御比目前的威胁等级更高?“动态”和“游戏”两个词都是相关的。安全遵循熵定律:如果不持续更新,能量等级会下降。时刻保持警惕是必要的。对于保持主动警觉和自适应,一个游戏的心态是至关重要的。毕竟,每一个新的防御是一个新把戏的挑战。人们天然精于此道,你应该为防御系统注入人的能力,而不是自动化将他们赶跑。

你需要进入创造威胁的人的观念。是他们在和你的员工博弈,你需要和他们玩,而你的员工需要积极参与,成为你的眼睛和耳朵,而不是蒙蔽者。

换句话说,不要再把你的人当做一个需要解决的问题,而是使他们成为解决方案的一部分。

新的安全模型的五个维度

经过几年的时间完善,足够合理的模式已经清晰,让企业可以开始进行必要的调整。新的模式是添加剂。你必须于风险最高的领域继续最佳的实践,同时结合风险,以人为本,改进防御。

新的模型包括如下五个方面:

  • 缩小信息安全焦点到核心、关键资产。

  • 以多层防御系统保护关键资产。

  • 雇佣使用信息来保护他们从事的资产的人。

  • 与业务伙伴结盟,以提高他们(和你的)的免疫系统。

  • 把安全看成业务问题,而不只是IT的问题。