2011年1月25日,Forrester的VP和研究总监Khalid Kark在NetworkWorld上给企业和组织的CISO们提出了一份2011年的安全策略建议。【注:CNW上有一份中文译文,不过译文有若干处不达意:<】
Khalid Kark建议从三个方面进行考量:
1)更好的治理结构。尤其是在面对社交网络、移动互联网和云计算大势所趋的情况下。应该主动的去考虑这些新技术对企业和组织的影响,制定一份可接受的风险管理策略。
2)更成熟的安全流程,尤其是针对数据保护的流程。这个流程相比之前的反应式的,要更加主动;不仅限于身份管理,更要做到信息与访问控制管理;除了要有突发事件处理计划,更重要地是要有一份健壮的安全破坏响应计划。
3)更强大的分析与报告能力,重点是安全的可见性、可测量性(可度量性)和可决策性。其中,决策支持可以分为三个层次:运维的,风险的,以及以业务为中心的。每个层次都需要不同层次的数据提供支撑。
这里,我想对他提到的第三点多谈一点自己的体会。
可见、可测量和可决策应该是安全管理的三个递进和循环渐进的过程。正如西方管理学的普遍原则一样:你无法描述就无法测量,而你无法管理和改进你无法测量的东西。描述->测量->管理也是一组递进关系。暂且不论这种方式对于安全管理是否能够真正有效,至少我们值得深入探讨KarK及其Forrester的安全管理思想。
可以说,对于各级安全管理角色而言,都需要作出自己的安全决策,不论你是安全运维人员,或者是风险管理经理,抑或是领导层。
对于一二线的运维人员而言,SIEM应该是一个比较有效的分析工具,可以帮助他们看到重要的安全事件和突发事件。当然如果使用不当,可能适得其反,陷入事 件的×××大海。对于风险管理经理而言,一套行之有效的风险管理流程和工具是有必要的。而对于高阶的安全主管和领导层而言,必须知道IT风险之于企业和组织 业务意味着什么,也就是业务风险。
在可见、可测和可决策三个环节种,最关键的是可测量,也就是安全测量,或者叫安全度量。安全测量也是可以分为不同层次的,对于运维人员,风险管理人员和决策层而言,有各自的测量数据和测量指标。在运维层,测量指标更加偏IT,而在决策层则更加偏业务。
最后,回到Kark的这个文章,正如他在开篇所述:Forrester's research shows that a majority of challenges for security professionals all relate to business orientation and alignment(安全专家们的主要挑战都关乎业务——面向业务或者结合业务)。他举例到:Many senior business and IT leaders are asking CISOs to better support and align with the business and IT objectives, requesting regular interactions and updates from security teams.