詢問CISO 的12個網絡安全問題

寫在前面：本文和上篇都是關于網絡安全的管理，我們在給客戶介紹方案的時候，除了具體的技術解決方案，還要緊跟行業最佳實踐，站在管理者的角度，幫助客戶思考，才能獲得客戶認可。這幾天做一個咨詢項目，關于網絡安全架構的設計，這個文檔正好有些內容可以參考。

詢問 CISO 的12個網絡安全問題

    監管壓力(最引人注目的是GDPR)和網絡及信息系統安全指令（Directive

on Security of Network and Information Systems，NIS）、越來越依賴技術和大數據，以及不斷變化的威脅環境要求組織有重大義務減少他們的網絡風險。

    網絡安全影響到所有行業、各種規模的公司。威脅很嚴重，持續變化、法律和監管要求也在不斷增加。管理層與董事會定期溝通網絡安全問題，是保護企業利益和保證責任的關鍵。

    網絡安全不再只和CIO有關，找到了它應有的位置：位于董事會會議室的中心和前列。

    盡管如此，只有不到50%的公司董事會持這種觀點，積極參與制定安全策略。普華永道2017年全球信息安全狀況報告(GSIS)調查顯示，只有39%的董事會參與制定安全政策，只有31%審核過安全和隱私風險。

    雖然董事會和CEO可能不需要要知道某種惡意軟件是如何侵入防火墻，他們需要知道他們的組織如何解決這些威脅。

    董事會層面的討論應該包括避免、接受、減輕或轉移哪些風險(通過網絡保險)，以及審查與每種方法相關聯的具體計劃。

    董事會還必須確保CISO在組織內進行報告的合適級別。有時候，CIO的議程和CISO是沖突。因此，一些CISO現在直接向CEO、COO或CRO報告。(調查報告顯示，40%的CISO直接向CEO報告，而只有27%的人向CIO匯報)。

    有效的網絡安全是一個持續的過程。在正確信息的武裝下，董事會就能在防患于未然方面發揮重要作用。

治理、合規和數據泄露風險

    很明顯，違法行為會帶來巨大的法律、財務和聲譽方面的嚴重后果。GDPR會讓董事會承擔更大的責任，解決信息治理和數據隱私問題，或者面臨驚人的經濟處罰。

    網絡安全和合規是持續過程，必須進行定期測試、維護和更新。沒有執行和維護基本的安全實踐，可能會明顯削弱組織在數據泄露事件中的法律辯護。

實現信息安全合規的國際基準

    ISO 27001是描述信息安全管理系統(ISMS)最佳實踐的國際標準。ISMS是一個由流程、文件、技術和人員組成的系統，幫助管理、監控和審計組織的信息安全計劃。獲得ISO 27001認證表明一個組織遵循信息安全最佳實踐，并提供獨立的專家評估數據是否根據全球最佳實踐得到保護。ISO 27001認證向股東、董事會、客戶和監管機構提供了令人信服的證據，證明一個組織已經采取了合理的措施來保護自己不受數據泄露的影響。

信息安全還是網絡安全

    信息安全與網絡安全密切相關。網絡安全被定義為保護信息不受網絡攻擊。信息安全是一個更廣泛的術語，描述了保護信息和信息系統免受未經授權的訪問、使用、暴露、中斷、修改或破壞，以提供保密性、完整性和可用性(CIA)。網絡安全通常被視為信息安全的一個組成部分。

ISMS 如何保證持續、強化的安全

• ISMS幫助管理所有格式的數據，包括數字、紙質和個人信息。
• 它可以幫助公司抵御技術風險和更常見的威脅，比如員工信息不靈通，流程薄弱。
• 風險評估與分析方法減少增加安全保護層的成本。
• 它能適應環境的變化在組織內部減少不斷變化風險帶來的威脅
• 它確保信息安全嵌入到業務之中，改善組織安全文化。
• 它關注的是數據的機密性，完整性和可用性。
• 它能讓企業面對網絡攻擊，變得更加有韌性。
• 持續改進、監控、內部審核和糾正措施確保控制保持最新。

問題1 我們組織面對的風險是什么？

    據Gartner稱，到2020年，全球2000家公司中有30%將直接受到由網絡活動人士或網絡罪犯組成的獨立組織的攻擊。組織需要通過識別安全漏洞及其對業務的影響來優先考慮真正的風險，并確保分配管理這些風險的對應預算。董事會還應自問，他們是否充分了解與網絡安全相關的適用(和新興)法律、監管和合同要求的影響

問題2 出現問題之前，我們測試系統嗎？

    有許多測試可以評估系統、網絡和應用程序的漏洞。

    任何安全制度的一個重要組成部分都應該是定期滲透測試。滲透測試是對計算機系統的模擬攻擊，目的是發現可能被利用的安全弱點。它有助于確定是否正確地遵循了關鍵流程，如打補丁和配置管理。許多公司沒有進行常規的滲透測試，錯誤地認為自己是安全的，但新的漏洞和威脅每天都在出現，這要求公司不斷測試自己對新出現的威脅的防御能力。

問題3 我們是否在進行全面和定期的信息安全風險評估?

    風險評估應向董事會保證已考慮到所有相關風險，對風險評估結果的溝通和采取的行動，有通用的定義和理解方法。

    不能確定風險與漏洞有關時，組織經常無法協調修復工作和資源。這種方法不僅浪費時間和金錢，還擴大了犯罪黑客利用嚴重漏洞的機會窗口。

    由于威脅(已知或未知)是利用漏洞(如過時軟件)的結果，因此這種關系必須是風險評估過程中的關鍵因素。高級安全運維團隊使用威脅情報來了解潛在威脅攻擊者的能力和采取的活動及計劃，并預測當前和未來的威脅。

問題4 我們如何證明安全控制遵從合規？

    審計可以支持董事會了解其網絡安全控制有效性的需要。如果一個組織選擇遵從信息安全標準，如ISO 27001，認證機構可以對其信息安全控制進行獨立審查，并可作為該組織對信息安全承諾的證據。

    這可以在投標新業務時用作競爭優勢，就像通過ISO 27001認證的公司一樣。認證還可以提供令人信服的證據，證明一個組織在保護其信息資產方面采取了適當的措施。

問題5 我們是否存在有效的信息安全意識培訓

    大量的違規行為是由雇員的錯誤或疏忽造成的。事實上，GSIS的調查顯示，員工應對27%的網絡安全事件負責。社會工程學仍然是一種常見的策略，罪犯可以通過卑鄙的方法，利用不小心或不知情的員工(例如通過惡意鏈接分發惡意軟件)，侵入網絡。

    有效的員工意識培訓重要性再怎么強調也不為過。研究表明，傳統的網絡安全意識措施可以通過一項多方面的安全計劃得到極大的增強，該計劃可以徹底改變企業文化，并解決員工根深蒂固的錯誤行為

問題6 面對數據泄露事故，我們的響應計劃是什么？

    網絡安全專家都同意，你不是“是否”被入侵的問題，而是“何時”被入侵的問題。能夠在數據泄露中幸存下來的組織與無法幸存的組織之間的關鍵區別在于網絡彈性戰略的實施，該戰略將事件響應計劃、業務連續性管理(BCM)和災難恢復戰略考慮在內，以盡可能減少對業務的破壞，從網絡攻擊中恢復過來。

    該委員會還應該了解規定其披露數據泄露責任的法律。NIS Directive 和GDPR都是引入企業泄露通知義務的立法例子。

問題7 我們購買了足夠的網絡保險嗎？

    最近的報告顯示，網絡保險不足以保護公司免受全面的網絡攻擊。雖然很難量化一次數據泄露的成本，但是關于你所在行業的其他數據泄露的信息應該能提供你的組織可能面臨的潛在損害的參考。2017年IBM數據泄露成本研究顯示，企業數據泄露的平均總成本為362萬美元(292萬歐元)。許多組織沒有意識到他們對數據泄露負有責任，即使數據存儲在云里，或者與之共享信息的第三方被泄露。

問題8 我們是否符合領先的信息安全框架或標準?

    包括領先的國際信息安全管理標準，ISO 27001，支付卡行業數據安全標準(PCI DSS)和Cyber Essentials方案(針對80%的網絡攻擊提供基本的網絡安全保護)。

    通過ISO 27001等領先國際標準的認證意味著公司在網絡安全方面采用了經過驗證的最佳實踐，并提出了一種全面的方法，不僅保護在線信息，還保護與人員和流程相關的風險。組織也可以選擇獨立的認證，以驗證其實施的控制是否按預期工作。

問題9 我們的信息安全預算是否花費合理？

    設置信息安全預算不僅僅是為了有更多的錢來購買更多的技術來修復網絡安全漏洞：關鍵是采取戰略性的預算分配方法，以真正改變組織的信息安全狀況。提高安全并不意味著增加技術。事實上，單靠技術并不能保護你的企業免受無處不在的威脅。

    組織需要通過優先考慮應該采取哪些步驟來遵守現行法律，并優先考慮阻止和處理攻擊，來保障其持續的安全狀態。

問題10 我們實現網絡可視化了嗎？

    糟糕的網絡行為可視性會對組織造成嚴重破壞。2017年IBM數據泄露成本研究顯示，檢測數據泄露的平均時間是191天。

    許多管理員對網絡和安全情報的訪問不夠深入，無法準確了解實際情況，并且缺乏能夠快速識別、解釋和處理威脅的工具。

    IT和安全團隊應該被賦能在網絡上保持清晰和持續的可視性。

問題1 1 我們風險登記表包含供應商風險和供應鏈風險嗎？

    網絡威脅可能通過供應鏈上任何數量的漏洞入侵組織。供應鏈內任何一個組織的網絡安全強度，等同于供應鏈中最薄弱環節的安全強度。通常是供應鏈中較小的組織，由于資源有限，網絡安全最弱。解決供應商風險需要一種廣泛、包容的方法，允許組織識別其在供應鏈中的位置，并繪制其網絡安全依賴關系和漏洞。

    組織應該實施多個相關方參與供應鏈風險評估過程，盡可能多供應鏈成員參與。

問題1 2 我們上一次測試災難恢復是什么時候？

    Ponemon Institute 的《2017年數據泄露成本研究:業務連續性管理的影響》顯示，BCM項目大大縮短了識別和控制數據泄露的時間。

    有效的BCM幫助企業在識別入侵方面節省了43天，在遏制入侵方面節省了35天。必須定期測試BCM和災難恢復計劃，以確定業務是否能在遭受攻擊后迅速恢復。一些“如果會怎樣”的想法應該了解后備方案本身對于網絡攻擊有多么脆弱。例如，對您的數據的惡意攻擊可能在一段時間內無法檢測到，備份數據也可能已被破壞。

關于IT Governance 

    IT Governance是信息安全和網絡風險管理領域的國際權威機構。我們根據國際最佳實踐和框架、為全球企業提供最關鍵問題和當前的成本及風險降低的解決方案。我們獨特的技術專長和扎實的國際管理體系標準經歷，意味著我們從開始到結束管理項目，可以提供完整的解決方案。我們與客戶并肩工作，幫助他們保護和確保他們的知識資本，遵守相關法規，改善他們的防御和部署策略，使整個業務受益。

    我們領導了超過600 個ISO 27001項目的實施和認證，是推行和認證ISO 27001的先行者。BS 7799是ISO27001的先驅，從我們的兩位董事領導了世界上第一個BS 7799認證開始，我們的ISO/IEC 27001咨詢服務使用具有15年發展和磨練歷史的方法和工具。

    我們提供全面的解決方案，幫助客戶滿足其網絡安全需求，包括培訓課程、出版物、員工意識計劃、政策和流程工具包、咨詢服務和合規軟件。