组织安全失败的五个迹象:从管理到技术执行的全方位警示

本文深入剖析了企业安全失败的五个关键迹象,包括管理层对安全认知的缺失、不当的报告结构、政策执行问题、安全团队自身定位模糊以及人员流动频繁,为企业提升安全防护提供了实际可行的指导与建议。

组织安全失败的五个迹象

作者:@1iJax(又名安全维京人)

尽管安全警钟长鸣,但快速调查各类组织后仍会发现,许多公司依然“不明就里”。本文并非详尽清单,但若您是高管或管理层成员,正为启动安全计划而苦恼,或根本不清楚现有计划是否有效,请继续阅读。如果您是安全专业人士,感觉组织内存在异常,且每前进一步都会在计划中倒退一步或多步,那么组织很可能正在系统性失败。

1. 管理层对安全缺乏清晰认知

这是一个关键问题,几乎其他所有“迹象”都是其症状。我们需要讨论它,管理层也需要理解它,以便为其他迹象奠定基础。安全的目的是什么?如果您首先想到的是“保护公司”,这情有可原,但却是错误的。实际上,保护公司是任何组织中高管的职责,而非安全部门的普通成员。

那么安全的职责是什么?简单来说,有两件事(听起来简单,但研究博弈论的人会告诉您,规则越简单,游戏越复杂):

  • 向高层管理层告知组织面临的威胁。
  • 监督高层管理层为应对这些威胁而制定的计划。

仅此而已。

一些安全人员可能会对此嗤之以鼻:“这家伙是谁?安全远比这复杂,我每天回家都告诉自己,我为保护公司感到自豪!”当然,我们使用各种流程、方法和工具来执行安全计划,但归根结底,所有这些都只是支持我们建议和监督使命的细节。(我说过,简单的规则造就复杂的游戏。)

未能认识到这一点的公司通常会惨败。它们缺乏战略,等看到它们如何应对漏洞时……欢迎来到糟糕的表演!这些组织的高管在描述他们的计划时会显得一无所知。

我曾在一家价值数十亿美元、规模刚刚翻倍的公司工作。在一次与CEO和COO的全体会议上,我问了一个简单的问题:“随着规模扩大和我们涉足的多个垂直领域,是否有人开始讨论任命CISO?”我并不是问他们是否有CISO人选,只是问讨论是否开始。第一个异常迹象是人力资源执行副总裁反问道:“CISO是什么?”

(我们暂停一下,让安全人员笑完。)

世界充满了缩写,不是每个人都能记住听过的每个缩写,所以我简单解释了这些术语,并稍微扩展了我的问题以提供更多背景。

几分钟后,CEO说:“我们有个问题,‘随着规模扩大和我们涉足的多个垂直领域,是否有人开始讨论任命CISO或CSO?’”

接下来的事让我希望我从未问过。

CEO回答:“我认为我们有负责这方面的人,所以没有,下一个问题。”

我是否期望他们透露如何战略性地构建安全团队?不,但至少假装关心,给出一个听起来像考虑过安全的答案。相反,我们得到了一个明显来自“不明就里”且被多层隔离于安全之外的高管的答案。就在我问这个问题的时候,他们将信息安全负责人的职位又降低了一层,低于CIO,并开始摧毁那个团队。

这引出了我们的下一点……

2. 不当的报告结构:向CIO报告与否不是问题

专家们反复争论“信息安全向谁报告?”的问题。随着技术控制的深化,通常的做法是将这些团队置于CIO之下。

这种方法的问题在于(冒着过度简化的风险),IT的存在是为了满足业务的技术需求和梦想。安全从业者的工作是建议和监督,* gasp * 并且需要告诉人们“不”。

“不”对CIO来说是一个不可能的词,用得太多次,他们就不会当太久CIO。他们可以说“是的,但是……”。“是的,但我们需要更多资金。”“是的,但我们需要更多人员……”等等。您能想象CIO说“不,我们不能构建那个应用程序来更好地吸引客户并赚更多钱”吗?我也不能。被安全缠住的CIO可能很快成为过滤者,扼杀我们建议和监督的目的。(嘿,他们只是试图引导技术船,而某个自以为是维京人的混蛋一直告诉IT人员不能使用TLS 1.0。)如果经验不足的CIO将安全置于另一层IT管理之下,那就更糟了。如果您真想看到车轮脱落,试试看。

公平地说,阻碍业务的CISO也不会当太久。我们从事风险缓解业务,有时需要谨慎选择战斗,并储存政治资本以备后用。

那么我们应该向谁报告?有人说CFO,有人说COO,总法律顾问……等等。有些人甚至提出IT应该向CISO报告。这听起来有趣,但您最终还是会遇到一个拥有两个偶尔利益冲突的角色的人。要简化这个问题,首先理解报告结构直接影响第1点……

  • 向高层管理层告知组织面临的威胁。
  • 监督高层管理层为应对这些威胁而制定的计划。

为了实现安全的目的,它必须直接向执行领导团队(ELT)的成员报告。您公司所在的垂直领域可能决定向ELT的哪位成员报告。但归根结底,向哪位“C”级人员报告并不重要,只要该人员“有席位”并认真对待安全。任何不足都只是假装,并导致电话游戏,每一层管理层都解读安全的含义。

3. 政策不由高管拥有

您可能认为这是显而易见的,但不幸的是,情况并非总是如此。我曾在一家商店工作,CIO坚持在我们提议的政策送交法律部门之前先由他们审查。当然,安全向该CIO报告,因此我们的许多工作都遇到了各种阻碍和淡化。

当时的说法是:“我们需要严格控制这些政策,以便保持灵活并适应业务……等等,等等。”

基本上,他们喜欢控制安全政策,以便根据需要更改,从而能够对业务说“是!”而不增加工作量。记住,IT不能说“不”。

从我们对安全简单目的的扩展知识中汲取(这可能是一个主题),这个问题直接影响安全提供监督的能力。执行领导必须拥有指示安全计划运行方向的指令。

政策是所有员工必须遵守的规则。没有高管的签署,任何与顶级信息安全经理同级或更高级别的经理都可以按照他们认为合适的方式解读该政策的含义。

是的,安全明白可实现政策和抱负政策之间的区别。我们可能会建议反对,我们可能会问:“但我们不应该渴望更安全吗?”如果我们简单地随风倒,我们就不是好的顾问,但我们也明白,无法希望满足的政策对所有相关人员都不可行。

这就是为什么我们需要ELT,您知道那些负责保护公司的人,仔细权衡这些决策并就前进方向达成一致。我们所做的一切、每一个流程、我们建造的每一堵墙都是政策的直接结果。只有当ELT拥有并感到放心捍卫这些艰难决策时,安全才能有效前进。

如果您还没有意识到,大多数失败的信息安全计划的迹象直接来自高层管理层缺乏参与。在学习某个认证时,我有幸从一位编写了非常受欢迎的学习指南的人那里获得了一些培训。我凭记忆引用,所以可能不准确,她 essentially said:

“如果您组织的安全不直接向ELT报告,并且ELT或董事会不签署政策,您就不会成功。如果该组织不愿意改变,您需要逃跑,不要回头。”

(如果我曲解了这句话,抱歉,安息吧Shon Harris……去他的癌症!)

4. 安全不知道安全的目的是什么

这一点让我在打字时笑了,但可悲的是,这变得越来越真实。简而言之,安全资源继续被拉薄,而且有很多只有几年经验的人带着高级头衔四处奔波。在我那个时代(42岁的我是行业中的老顽固),我不得不工作八年才获得“高级”头衔。

不幸的是,这是现在的行业性质,该领域两位数的失业率导致来自规划不佳的信息安全大学项目和IT的新手爆炸式增长。IT人员的涌入(我主要指的是管理方面)带来了“IT心态”。(IT人员过来没有问题,我们欢迎您,请送更多开发人员过来。)过去是高度合格的IT人员从知识渊博的安全人员那里学习诀窍的缓慢细流,现在迅速变成了盲人引导盲人。安全领域新晋的IT经理通常会过滤甚至完全隐瞒诚实评估公司准备水平的结果。

这种不想在高级管理层面前显得糟糕的自然反应严重违反了安全的目的。

我听过这样的话:“红色太多,管理层不会认真对待我们,”或者“我不能给他们这个,这让我们看起来真的很糟糕。”甚至更糟的是,“我需要你仔细看看,是否能改变其中一些东西”。

亲爱的前IT经理,现在在安全部门,我们需要谈一谈。我们需要您停止屈服。您需要明白,政治化报告的地方不是在发现中,而是在您的管理响应中!

我明白,展示我们的缺点很难。没有人要求您戴锡纸帽并尖叫天要塌下来,但当您回避建议的职责时,您就错过了向他们展示如何改进的机会,并在此过程中失去了员工的尊重。

作为经理,您是否同意您对高层管理层的用处在于您提供未来愿景的能力?这是您闪耀和推销那个愿景的时候!

5. 安全人员的旋转门

人们似乎来来去去?您团队中的大多数分析师和工程师在公司工作不到五年?您的计划似乎走上正轨几年,然后所有人一夜之间消失?如果您对任何这些问题回答“是”,那么您就有问题。

随着一些地区报告信息安全领域的失业率低至-16%,您的员工很快就会知道他们不必等您“弄清楚”。

那么如何解决?

首先,您需要理解最初成为安全人员的那类员工。他们绝对会解读字里行间的意思!这些是爬遍您所有系统并剖析每一个细微差别以寻找对组织威胁的人,您不认为他们在解读您的每一个举动并权衡您的话语吗?

他们知道何时被居高临下地对待。他们知道管理层何时不认真对待安全。如果您不关心,他们为什么要关心?这些人 constantly under the gun。他们经常熬夜学习世界上最新和最严重的问题。他们生活、呼吸并从互联网的阴暗面汲取营养,其中许多人确实将“保护公司”个人化,即使我们知道我们不应该。

对安全工作的赞赏是有帮助的,但直率的谈话更进一步。诚实地面对您作为公司的缺点,不要试图用漂亮的外表掩盖它们。我们有高度敏锐的废话检测器。贯彻执行安全给您的修复这些缺点的建议大有帮助。向您的安全人员发出组织准备尝试修复问题的信号可以对士气产生巨大影响。

现在您说得很好,我们如何行动?三个词:安全人员配置标准。拥有解决人员配置问题的书面计划告诉您的经验丰富的员工,管理层认识到健康计划的需要,并给您一些可以管理的东西。

没有两家公司有相同的人员配置需求,也没有人想出完美的公式。就个人而言,当涉及安全技术方面的人员数量时,我喜欢使用“IT比率”度量作为起点。

对此的详细查看可能是另一天的帖子,但基本上,将IT人员的6-8%分配给安全大约是中间水平。显然,您所在的垂直领域和一些特殊技能会影响这个数字。

了解您的业务,相应调整,并准备在您操作的环境变化时适应和更改该标准。

强烈警告……不要陷入工具陷阱!!!购买产品并不能替代人员编制,事实上,由于管理该工具的专业性质,它可能会增加需求。工具与锤子没有什么不同。锤子不会自己摆动!

我的公司有所有这些问题,现在怎么办?

如果您是C级人员,并且碰巧看到了我的小 rant,球在您场上。拥有您的政策,通过让安全直接向您报告来启用安全,相应配置人员,您将比下一个人领先光年。对于安全人员,即使您的组织命中所有这些问题,也不要立即放弃。将其视为挑战,尽力打好仗,如果您看不到任何改进的尝试,带着微笑离开。(或者就像Shon建议的那样直接逃跑)您幸存下来,您学到了,您可以带走所有关于什么不起作用的知识,并帮助一个真正真正真正想要和需要您帮助的组织。我留给您(尤其是我们在Equifax的信息安全兄弟姐妹)一句我最喜欢的谚语,我在Target漏洞后不久传递给一位总监:“平静的大海造就不了熟练的水手!”祝您好运。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次