CSO：常识性操作/运营

作为CSO/CISO/负责信息安全的负责人，你的工作是……嗯……你甚至知道吗？高层管理人员知道吗？

“我们糟糕的CSO……“和"我们愚蠢的CSO……“是各种技术人员常用的说法，他们绝望地举起双手，试图证明他们的CSO不懂技术，也不知道自己在做什么。有道理，我认识的一些CSO/CISO没有系统管理、系统工程的背景，也没有信息安全工作实践经验。同时，CSO职位通常是由对X和Y合规的需求以及业务经济/优先级驱动的。即使CSO理解基于风险管理方法的必要性，问题可能不在于不理解"他应该或不应该做什么”，而在于"他被允许做什么”。这并不使CSO愚蠢，生活不是非黑即白的，但如果他未能与同事分享这些约束，他可能会被普遍误解。

为什么我们在这里？

首先，从事IT和信息安全工作的人应该思考他们为什么是公司的一部分。“让事情安全"是一个相当模糊的答案，同时可能令人不知所措，因为有"太多事情"还不安全，并且由于"业务优先级A或业务决策B"似乎无法保护。我们可以尝试找出公司真正关心的是什么，以及这如何转化为IT或信息安全。

1. 检查公司愿景和使命

公司通常在网站上发布使命声明。找到它，分解它，并检查"信息安全"在实现这些目标中的重要性和适用性。

2. 识别实现公司愿景和使命所需的IT组件

如果你知道实现目标需要哪些IT组件，你就会知道在实施IT安全措施时应关注哪里。

3. 建立坚实的基线

除了实施直接影响/支持公司愿景和使命的安全措施外，你还需要一个坚实的基线。

如何/从哪里开始？

1. 积极态度

成功很大程度上取决于你的方法和态度。专注于问题，将"问题"视为事实和挑战，并找到创造性、有效且理想情况下低成本的方法来缓解这些"问题”。

2. 常识性优先级

在担任CISO的头两年，我做了以下事情：

承诺 向同事、IT和业务伙伴解释，你理解业务重点，并将尽力避免对业务流程产生影响。

积极主动 花时间倾听和与人交谈。询问业务情况，倾听他们的意见。对新想法提出帮助方法，而不是提出不安全的原因。

提高可见性

• 商定报告问题的协议并遵守
• 定位重要的网络入口和出口点
• 识别谁在关键系统上拥有管理员权限
• 在实施工具前思考你想看到和监控什么
• 建立正式的用户账户生命周期管理系统

降低风险

只有在充分了解网络和系统上发生的情况后，你才能进行一些更改。

简化管理模型

通常没有理由让IT人员使用具有管理员权限的用户账户进行日常工作。设计、实施和操作大型复杂Active Directory拓扑时，通常没有理由让任何人成为域管理员或企业管理员。

简化网络拓扑

如果简化网络，例如限制互联网网关或一般入口/出口点的数量，你也将提高监控和应用保护过滤器的能力。

系统加固

除了执行适当的系统加固外，考虑将EMET部署到你的PC甚至服务器上。EMET是一个伟大的工具，显著提高了犯罪分子利用内存损坏错误的难度级别。

标准化和补丁

识别公司使用的软件并确定标准应用程序集。评估修补应用程序的难易程度，并在需要/可能时寻找替代方案。

分段

将网络和用户分组为具有类似行为和信任级别的实体。为每个实体创建安全配置文件，并基于这些配置文件实施保护机制。

集中管理

如果集中管理网络和系统，对整个环境应用相同的规则和标准变得更容易。

有效的用户意识

用户意识。信息安全中最流行的说法是"人们点击东西"和"没有修补人类愚蠢的补丁”。是的，人们点击东西。他们确实点击。但猜猜为什么，不是因为他们愚蠢。我相信说服人们"点击东西"仍然容易的部分原因是我们没有足够努力。

审计

当然，我们需要审计来检查我们措施的有效性。我通常在内部员工和外部聘请的渗透测试人员之间轮换审计。我甚至在外部公司之间轮换，以确保不同的人查看环境。

抱最好的希望，做最坏的准备

最后，坏事会发生，有意或无意。这是事实。无论最新的审计报告有多好，我们必须理解事情会变化，并且没有什么/没有人可能为持久、有针对性的攻击做好准备。

业务连续性和灾难恢复计划

制定业务连续性和灾难恢复计划是一项繁琐的工作，但最终基于几个基本原则：

• 不要依赖他人
• 不要依赖SLA

KPI

关键绩效指标是一组测量标准，允许你确定某物的状态并得出结论。作为经理，你可能会收到交付某些KPI水平的请求。

结论

这些只是你可以努力改进基本安全水平的几个例子，而无需在设备上花费大量资金。某些设备肯定具有某些价值，但只有在你已经掌握基础并准备好配置、维护和操作它们时才有用。