IT安全和IT戰略需要更好的集成

Bob Violino 徐盛華

不少組織已經看到了一個將IT安全深度整合到其整體IT戰略的未來。本文將講述他們如何實現此項計劃。

信息安全已經在越來越多的企業中成為IT不可或缺的一部分，從企業的角度看，這兩個部分（IT戰略和IT安全）實際上是不可區分的。

許多企業正試圖將IT安全與IT戰略更緊密地整合在一起。這可能意味著需要實現部門的融合，需要改變領導架構，在開發管道中更早地嵌入安全性，以及其他的策略等。

根據 CIO的2019年現狀調查，約2/3的企業表示，他們的IT安全戰略和IT戰略緊密結合，IT安全是IT路線圖和項目的關鍵組成部分。

展望未來，兩者將變得更加難以區分，83%的企業希望在未來三年內將IT安全戰略緊密整合到他們的整體IT戰略中。

安全咨詢公司Moss Adams的網絡安全高級總監Nathan Wenzler說：“我認為我們將看到IT戰略和安全戰略交織在一起，但方式不同于我們過去幾年所看到的。”

Wenzler認為：“信息安全通常被視為IT部門的一個子集，并且只是管理防火墻和垃圾郵件過濾器等安全工具的地方，現在越來越常見的是，信息安全團隊開始起到其真正的作用：風險管理功能。”

在風險的管理和緩解方面，IT和安全策略最為緊密地集成在一起。一個常見的例子是應用程序安全性。Wenzler指出，今天的安全團隊更關心代碼是如何從開發人員的測試臺安全地轉移到生產環境中的，同時還要進行適當的測試和控制。

Wenzler說，安全策略將確定代碼可能因人為失誤或錯誤而被破壞或失去完整性的區域，并提供應采取哪些措施來減輕或消除這些風險的建議。

“IT團隊隨后介入，確定哪些工具最適合現有的基礎架構，將其與現有的開發工具和流程集成，并實施適當的技術來提供這些控制，”他說。“這是現代戰略最佳結合的地方，不要期望安全團隊成為IT專家，反之亦然。”

下面是一些關于如何更緊密地將安全實踐整合到IT戰略中的提示。

授權最高安全主管

將IT和安全緊密整合在一起并不意味著從安全主管那里奪走權力;事實上，在戰略規劃中應該給予他們更多的發言權。

Park Place Technologies是一家存儲、服務器和網絡硬件維護服務提供商，其CIO Michael Cantor認為，IT戰略和IT安全戰略緊密整合，網絡安全領導層發揮著關鍵作用。

Cantor說：“我們的信息安全主管在所有戰略討論（包括年度預算周期）中都有一個席位。他創建了一個五年安全路線圖，其中嵌入了每個安全功能的目標，以確保在每一年中取得預期的進展。”

例如，總監的目標之一是提高圍繞漏洞掃描的內部能力，以便Park Place Technologies能夠以更低的成本進行更頻繁地掃描。特別是，該目標已納入基礎架構職能部門的2019年目標。Cantor說，它被轉化為內部掃描技術的實施和一個側重于更頻繁地使用該技術進行掃描的項目。

安全職能部門需要處于企業的適當級別，如果不是CEO，至少要向CIO匯報。Cantor說：“獨立性是確保安全語音在不被其他IT功能（如基礎架構）抑制的情況下被聽到的必要條件。”

獲得高級管理人員對集成的支持

由于缺乏企業中最高級別人員的支持，有多少計劃偏離了軌道？IT和安全集成可能面臨同樣的命運。

全球性家具設計和制造公司Haworth的隱私官Joe Cardamone說：“獲得董事會、C級和領導團隊的認可，會給信息安全架構和策略的早期集成帶來很多好處，在網上有很多此類的報道。”

Cardamone說，展示效益并獲得領導層的認可和支持有助于打破障礙。此外，如果高級管理人員了解安全的價值，他們可能更傾向于看到IT和安全集成的價值。“展示信息安全如何開展業務，而不是工作流中的另一個障礙，這很重要。”

當IT和安全部門都與高級管理人員保持直接聯系時，情況會更好。

電氣承包商Rosendin Electric的網絡安全與合規高級主管James McGibney說，這樣的直接聯系是必須的。“幸運的是，我們的網絡安全小組在我們的IT公司內，直接向我們的首席信息官和首席執行官匯報。他們和我們的所有高管都非常支持我們正在開展的IT和安全工作。”

McGibney表示，這樣的匯報流程是“完美無缺的”。“我們的高級管理人員完全理解保持強有力的安全態勢的重要性。如果我們迫切需要部署安全解決方案，他們總是會為我們提供堅定不移的支持。”

經常溝通和建立關系

IT部門和安全人員之間良好溝通的必要性不能忽略，這對于有效整合至關重要。

在Rosendin Electric公司，兩個部門之間的溝通至關重要。

McGibney說：“人的因素是當今任何IT公司面臨的最大風險。成功的網絡釣魚活動很容易使一家企業突然停止運營。為了提供真正的縱深防御，IT和安全部門需要協同工作，跨攻擊面實施解決方案，無論是在本地解決方案還是基于云的解決方案。安全組實現的內容影響基礎架構，而基礎架構實現的內容影響安全性。他們真的是攜手共進。”

Wenzler認為，IT和安全團隊需要了解他們都在努力地想要實現什么，以及為什么這對企業很重要。他說：“當雙方不溝通時，很容易使風險策略與技術目標不一致。雖然功能各不相同，但它們對彼此的成功是不可或缺的，因此如果沒有持續的溝通，它們就會始終不同步。”

Cardamone也認為：這兩個部門之間建立更好的關系很重要。因為信息安全人員有時會被視為項目的絆腳石，阻礙了工作流程。

為了幫助建立橋梁，信息安全團隊需要強調團隊協作。

Cardamone說，在Haworth，IT工程師和信息安全團隊每月都會召開會議，討論即將發生的變化、項目、挑戰以及可以讓任何一方受益的其他問題。“使這項工作最有效的是管理團隊支持這類行為，并從IT部門常見的孤立行為中走出來。”

利用安全標準并使用可比較的指標

這些希望集成IT和安全的企業應該考慮使用標準安全框架，例如由美國標準技術研究所（NIST）創建的框架來為安全環境設定目標。

“這可以創建一個安全路線圖，該路線圖可以有效地進行優先級劃分，并與所有功能共享，以設置年度目標。”Cantor說。

Cantor指出，在企業中使用一個標準化安全操作框架，可以確保安全的所有方面都得到識別，并且可以優先考慮風險和成熟度目標。一旦一家企業選擇了一個框架，并根據其對特定情況的適用性部署了各種元素，“那么該企業基本上就有了一個安全策略。”

“安全性僅能在其自身功能范圍內實現特定目標是非常罕見的。通常需要結合其他功能來實現安全目標，因此這種與整體IT戰略的集成是成功的關鍵。”Cantor說。

Wenzler認為，除了標準之外，IT和安全團隊還應致力于使用可比較的度量標準，以便不混淆最終目標。很多時候，安全團隊開始使用與IT團隊或運營職能無關的方式衡量風險甚至取得成功。

“同樣，正常運行時間測量或幫助臺響應可能涉及安全性的‘完整性和可用性支柱，但不能正確解決風險問題。應確保每個人都了解正在使用的指標，并利用能夠通過技術改進揭示風險降低的指標。”Wenzler說。

在產品中構建數據保護

有效的IT和安全集成應該擴展到企業為其客戶提供的產品和服務，以及企業內部使用的產品和服務，而不考慮行業。

McGibney說：“在我們的IT產品中構建數據保護至關重要。”例如，當向員工發放企業手機時，它會立即在統一的端點管理系統中注冊。如果員工帶上自己的設備，他們也必須注冊，否則設備不允許訪問任何企業資源。

“隨著網絡釣魚活動的兇猛來臨，任何企業都有員工點擊模糊鏈接、輸入登錄憑證的風險。黑客不僅可以自由訪問你的Active Directory基礎架構，還可以訪問你的流程和進程。反過來，這通常會導致更集中的網絡釣魚攻擊。”McGibney說。

物聯網（IoT）擴大了攻擊面。McGibney認為，“所有接觸到互聯網的東西都會成為企業的潛在切入點。電話、平板電腦、筆記本電腦、臺式機、安全攝像頭、照明控制、恒溫器、虛擬現實設備等。所有這些設備都需要經過某種補丁管理和漏洞管理進程。”

McGibney說，黑客可以說是世界上最聰明的人。“當他們下定決心并一意想滲透你的環境時，他們將使用任何必要的手段來實現他們的目標。無論是通過社會工程還是網絡釣魚活動，企業都必須保持警惕和安全意識。”

Bob Violino 是一位在紐約的特約作家，服務于 Computerworld， CIO， CSO， InfoWorld，? Network World。

原文網址

https：//www.cio.com/article/3407737/how-to-better-integrate-it-security-and-it-strategy.html