特别报告:IT安全迫在眉睫的转折点

您的infosec模型应该有多灵活?

组织需要通过更新其安全策略来掌握快速变化的威胁态势,而又不能使用户陷入违规状态。

 灵活
多米尼克·怀西斯沃

特别报道

IT安全迫在眉睫的转折点

展示更多

安全是企业的重中之重 劳工银行 ,但是金融机构每年仅更新一次正式的信息安全策略,也许更新两次,而不管不断变化的威胁形势如何。

该银行信息安全官肖恩·米勒(Shaun Miller)表示,这并不是说联合银行无视新兴的威胁,例如新的恶意软件变种或网络钓鱼计划。相反,该组织在堪萨斯州堪萨斯城地区设有七个分支机构,再在华盛顿设有办事处,它会定期调整其防火墙和入侵防护系统,以应对新出现的活跃威胁。但是,为了避免使120个用户疲劳,该公司拒绝更频繁地制定新政策。

米勒说:“我们政策的目的是要高水平,而不是涵盖所有可能发生的事情。” “我们会更新日常战术性内容的程序,但是当涉及到我们未来的安全战略方向时,我们会以有限的方式更改政策,以免使用户不知所措。”

劳动银行并不孤单。考虑到威胁态势变化的速度,公司可能很难修改像公司安全模型这样严格的内容,以跟上每个新的攻击媒介的步伐。在最近由Computerworld,CIO和CSO对287位美国IT和商务专业人员进行的调查中,有33%的受访者表示,他们为拥有相同信息安全管理模式五年以上的组织工作。同时,有23%的人说他们的模型已经实施了三到五年,有33%的人说了一到三年,只有11%的人表示不到一年。

但是,有50%的受访者表示其组织正在考虑对其信息安全管理模型进行更改。当询问该小组成员的因素是什么促使他们的雇主考虑改变时,前三名的答复是对泄露和数据丢失的担忧(144名受访者中的78%引用),技术进步和升级(53%)以及法规遵从性(49%)。

多年的实践-套房图表12 首席信息官/ 电脑世界 / CSO

采用信息安全策略更改的频率是一个难题。公司需要想出一种保持灵活性的方法,以确保其策略和程序能够反映当前的威胁状况,但他们却无法发布太多的新规则和限制,以至于使用户感到沮丧并无意间迫使他们考虑绕过公司规则,麦肯锡分析师Kelley Mak解释说 Forrester研究.

同时,公司必须在使用消防策略应对最新威胁与将信息安全策略视为整体策略之间取得平衡。他说:“这不像获取数据和制定新政策那样简单,因为您必须确保信息工作者不会感到沮丧。” “您施加的限制越多,有人越有可能解决它。”

填补日常空白

这正是Miller想要避免的事情。劳工银行维护一种信息安全政策,以解决高层问题,包括银行对安全的总体立场和广泛的规则,例如要求员工使用密码访问数据的命令。这些政策只有在获得董事会批准后才能制定,不会陷入技术的混乱之中,也不会阐明诸如密码的确切字符要求之类的细节(随时间可能会改变)。

为了补充广泛的政策,米勒的小组定期修改规则以解决当前的安全漏洞。最近,安全团队由于众所周知的漏洞而阻止了Flash软件的使用,并且因为它几乎不再用于与商业相关的网站中。米勒说:“我们认为政策不会改变。” “我们的董事会批准了政策,他们不知道Flash是什么或做什么。这只是简单的日常业务对所需威胁的响应的一个例子。”

为了使人们随时了解更新,Miller发送电子邮件以宣布更改并说明更改的重要性。 Miller说,他经常包括指向背景信息的链接,他说,确保人们了解为什么需要进行更改并清楚了解风险,这有助于防止用户感到沮丧,并确保即使在很小的政策更改下员工也愿意遵守。

测试,测试,测试

Devin Meade,高级系统经理,负责安全性 法兰克福短布鲁萨 (FSB)说,他更喜欢保持安全策略的流畅性,因为建筑工程规划公司规模相对较小(有150个用户),并且不受法规要求的直接影响。尽管FSB确实具有经董事会批准的正式安全政策,但Meade和他的团队经常对新程序提出建议,使用大约六名用户的小型指导委员会征集反馈,然后再将更改推广到广大的用户群体。

改变的时候了-套房图表13 首席信息官/ 电脑世界 / CSO

他解释说:“我们制作补丁或更改我们的安全立场的标准方法是在计算机上对其进行测试,以查看其工作方式,并将其推广给具有代表性的人员。”然后,该指导委员会测试这些更改,以确定哪些功能适用于FSB的用户,哪些无效。

例如,Meade和他的团队建议加强加密。但是在指导委员会的测试过程中,发现这些更改使VPN访问变得过于不稳定和缓慢,因此Meade的团队回到了设计阶段。当团队试图将URL列入白名单和黑名单以限制用户访问某些“工作不安全”的网站时,情况与此类似。米德说,这一举动没有达到预期,因为当时所涉及的技术还不够成熟。

只有经过FSB指导委员会的批准,infosec政策或程序更改才能在整个公司内实施。 “我的工作是向[执行团队和业务发起人]通知我们,我们可以做些什么,如果我们进行了更改,流程将会是什么。” “由于我们是一家小公司,我们可以随着技术的变化进行修改。”

Forrester的Mak表示,大多数组织并不像FSB那样灵活,也没有足够频繁地更新安全策略,而且许多组织也没有测试驱动更改以评估有效的内容,而不是太麻烦。他说:“您发现没有很多组织在进行适当数量的测试来识别漏洞,因此无法从人的角度准确了解对环境的影响。”

Mak建议公司制定安全意识计划,这些计划不仅可以为员工提供指导,还可以强调采用严肃的安全文化的重要性。

变更代理人-套房图表14 首席信息官/ 电脑世界 / CSO

吸引用户

这种方法将很快在 费伊学校 。马萨诸塞州南堡市技术主管约瑟夫·阿杜说,与劳工银行一样,该学校会对其信息安全程序进行频繁的次要更新,以跟上新出现的威胁,但每年仅进行几次重大政策更改,以避免用户过多。 ,是一所私立学校,其学前K到9年级。一年前从营利性机构入职的Adu在制定学校的IT政策时正在借鉴他在商业领域的经验。除其他外,他正在共同努力,以帮助员工感到对安全性的投资。

阿杜说,在本学年,该学校的150名教职员工将参加现场培训和数字培训,并将每年进行重复培训,以涵盖重要的信息安全政策变更。此外,今年生效的一项新计划要求新员工在被雇用后立即接受安全意识培训。 Infosec培训最终还将纳入学校的新员工入职培训过程中。这意味着新移民将立即知道禁止通过电子邮件大规模共享个人信息,他们将了解学校如何对特定类型的数据进行分类,以及为什么这样做。

Adu表示,在聘用时提出安全策略是将用户灌输到公司文化中的一种方式,并使他们对坚持安全最佳做法负责。此外,人们通常在初次加入董事会时就更愿意接受指导,因此他们更有可能接受和遵守政策。 (学校还为400名学生举办了简短的培训课程,涵盖了安全基础知识,例如禁止共享密码的规则。)

Adu说:“我们正在尝试创建一种文化,使人们知道他们可以依靠IT部门来跟上事态发展。” “但是他们还需要了解,数据安全是在这个[组织]中工作的重要组成部分,并且发挥了作用。最困难的部分是使人们认识到,作为最终用户,他们要承担很多责任。”

相关视频:IT安全状态

版权© 2016 IDG通讯,Inc.

  
在亚马逊上购买技术产品