“為什么國內很少聽到真正CSO、CISO的職位與人員”
“如何做好一個企業的安全負責人”
“一個企業安全負責人應該具備什么樣的能力要素”
首先CSO、CISO在很多企業里還沒有上升到一個正式的職位,現在見的比較多的其實是“公司信息安全第一負責人”,這個理解起來容易,這里談到的“如何做好首席安全官”也是這個概念,另外就是討論的范圍僅限于甲方公司,也就是“企業安全”領域。首席安全官的十二個基本能力要素。
第一條:業務理解與賦能
業務、作為高級別安全人員,應該對自己企業、所處行業的業務有足夠的認識與理解。
第二條:安全治理與戰略規劃
說到安全治理,除了一般提到的組織保障、資源投入等方面以外,更多在以下五個方面考慮:
1.戰略一致性,信息安全的戰略與重點應該與業務的戰略、布局、拓展等能力需求保持一致。
2.價值實現,信息安全是有價值的!
3.風險優化,以業務與風險為導向,以威脅為驅動手段,從管理、技術、人的縱深;從業務自身能力、安全風險管控能力、安全監督審計能力的縱深;從業務外延領域、虛擬邊界領域、核心能力領域的縱深,進行全面安全風險整合優化,提升感知、管控、處置、迭代能力。
4.資源投放效率,安全治理中需要解決安全資源投放效率的問題。
5.度量評價,安全的效果衡量,資源使用的度量評價,是安全治理中結果呈現環節的核心。
第三條:安全風險管理
以風險為導向的信息安全。
安全風險管理的方法,可以在兩種流派中取長補短,在業務風險之后不急于對接管控措施,而是將業務風險中信息安全相關場景識別出來,分解技術方案與管理措施落地。
第四條:安全技術與架構
安全技術與架構強調了企業安全的縱深防護能力,以縮短自由攻擊時間窗口為目標的分析感知能力,以降低平均檢測時間與平均響應時間為目標的安全技術運營能力。縱深防護的概念已經有十幾年的歷史了,但放到現在企業安全領域仍然不過時,從業務外延環境、邏輯邊界與安全域到核心組件區域的層層感知、管控能力,動態防御與檢測機制、離線分析能力等的建設與運營,構建了事前、事中、事后的技術機制縱深,從而為攻防對抗提供了更加豐富的手段與場景。
第五條:安全管理
安全管理是企業安全中非常重要的組成部分,為信息安全工作提供管理抓手、制度依據、和流程保障。
第六條:業務安全與風控
業務安全與風控常涉及的領域包括以下幾個:
1.業務安全,包括反作弊、防刷單、黑產對抗、賬號體系安全、資金交易安全等等,基于業務場景的實時與離線方式下的查殺能力與對抗體系。這個也是狹義上我們常見的業務安全。
2.業務風控,由于業務本身的活動與環境造成的各種風險的應對與管控。
3.內部控制,這個概念較早出現在財務領域,由各種財務舞弊丑聞觸發下資本監管市場提出了加強內部控制、提高財務報表準確性要求,上市公司紛紛進行內部控制建設,相應的理論與最佳實踐框架也在外部審計師、企業內部控制人員以及資本市場監管機構的共同推動與組織下逐步成熟。
第七條:安全運營
安全運營領域的價值可以做的很實在、很接地氣。在合適的地方部署適當的能力,這個看重的是覆蓋率、準確率和召回率,處于建設期的更應該側重這類的指標與能力,那么處于運營期,MTTD(平均檢測時間)、MTTR(平均響應時間)就比較重要了,這兩個指標反映了感知發現能力與管控處置能力。
第八條:本地政府、監管理解與法律法規合規
在國內開展信息安全相關工作,一些基本要求需要得到有效關注與落實,如2017年6月1日實施的《網絡安全法》以及配套的系列法規要求;刑法285、286條款以配套司法解釋;信息系統等級保護相關的系列;《個人信息安全保護規范》;各行業主管機構的相關要求。全球開展業務中,數據與隱私保護會是面臨的主要挑戰,如GDPR(歐盟通用數據保護方案)、HIPAA(Health Insurance Portability and Accountability Act)等最為代表。另外,在互聯網、金融、能源、資源型等行業,各國對基礎設施方面的保護法案與要求也面臨規范與日趨嚴厲。
另外,國際標準組織(ISO)的信息安全相關標準、NIST SP-800最佳實踐、行業性實踐要求如ISAE3402、云計算相關的安全認證如CSA-Star、支付卡組織的PCI-DSS及ADSS等也是開展業務不可缺少的要求。
第九條:安全審計
安全審計可以理解為“安全”+“審計”兩個關鍵詞,目標是和安全有關的技術、管理、人員以及這些要素所產生的環境與能力,手段是審計。
第十條:危機管理、安全事件調查與取證
必須為可能的外部攻擊、內部泄露、商業間諜、員工無意等等各種情況做好準備,尤其是極端情況下的準備工作。
第十一條:組織架構、安全意識與內部安全品牌建設
組織架構的設置可以從幾個方面考慮:
1.戰場布局方式,“戰區主戰、軍種主建、軍委管總“。
2.能力布局方式,不是所有公司都需要龐大、分工明確的安全組織,根據公司的實際情況,選擇合適的技術棧能力進行布局也是一種合理方式。
第十二條:資源管理與使用效率控制
集中優勢兵力、快速見效,做事有輕重緩急算是最基本的要求。同時多個項目的并發是不可避免的,控制質量與數量,做好資源池管理,PMO的多項目管理還是值得參考與借鑒的。
這十二個要素,可以說是CSO的能力集,其實也極有可能是一個企業安全能力的映射集,往往CSO的能力決定了企業安全的能力天花板,如同一個企業創始人的風格會變成一個企業的風格。
