CSO：常识性操作/运营

作为CSO/CISO/信息安全负责人，你的工作是……嗯……你甚至知道吗？高层管理人员知道吗？

“我们糟糕的CSO……“和"我们愚蠢的CSO……“是各种技术人员常用的说法，他们绝望地举手，试图证明他们的CSO不懂技术，不知道自己在做什么。有道理，我认识的一些CSO/CISO没有系统管理、系统工程背景，也没有信息安全工作实践经验。同时，CSO职位通常由对X和Y合规的需求以及业务经济/优先级驱动。即使CSO理解基于风险管理方法的必要性，他或她的问题可能不在于不理解"应该做什么或不应该做什么”，而在于"被允许做什么”。这并不使CSO愚蠢，生活不是非黑即白，但如果他或她未能与同事分享这些约束，可能会被普遍误解。

为什么我们在这里？

首先，从事IT和信息安全工作的人应该思考他们为什么成为公司的一部分。“确保事物安全"是一个相当模糊的答案，同时可能令人不知所措，因为有"太多事物"尚未安全，且由于"业务优先级A或业务决策B"似乎无法保护。我们可以尝试找出公司关心的具体内容，以及如何将其转化为IT或信息安全。

确定基线

除了实施直接影响/支持公司愿景和使命的安全措施外，你还需要一个坚实的基线，可能由ISO/行业标准、法律要求或常识驱动。这是灰色地带，常引起挫折，因为人们要么尝试做太多，要么不够关心。

如何/从哪里开始？

1. 积极态度

成功很大程度上取决于你的方法和态度。将"问题"视为事实和挑战，找到创造性、有效且低成本的方法来缓解这些问题。

2. 常识性优先级

在担任CISO的头两年，我做了以下工作：

承诺 向同事、IT和业务伙伴解释你理解业务重要性，并尽力避免对业务流程产生影响。

积极主动 花时间倾听和与人交谈。成为早期采用者，在IT部门内设立概念验证，然后尝试说服组织中的"关键"人物你的方法有效。

提高可见性

• 商定问题报告协议并遵守
• 定位重要网络入口和出口点
• 识别谁在关键系统上拥有管理员权限
• 设立正式的用户账户生命周期管理系统

降低风险

只有当你对网络和系统上发生的情况有良好理解时，你才能准备进行一些更改。

简化管理模型

通常没有理由让IT人员使用具有管理员权限的用户账户进行日常工作。

简化网络拓扑

如果简化网络，例如限制互联网网关或入口/出口点的数量，你将提高监控和应用保护过滤器的能力。

系统加固

除了执行适当的系统加固外，考虑将EMET部署到PC甚至服务器。EMET是一个伟大工具，显著提高犯罪分子利用内存损坏错误的难度级别。

标准化和补丁

识别公司使用的软件并确定标准应用程序集。评估修补应用程序的难易程度，并在需要时寻找替代方案。

分段

将网络和用户分组为具有类似行为和信任级别的实体。

集中管理

如果集中管理网络和系统，将更容易将相同规则和标准应用于整个环境。

有效的用户意识

以积极方式教学，奖励他们做正确的事，少吼叫。他们会记住，甚至可能改变习惯。

审计

我们通常需要审计来检查措施的有效性。我通常在内部员工和外部聘请的渗透测试人员之间轮换审计。

抱最好希望，做最坏准备

坏事会发生，有意或无意。这是事实。

业务连续性和灾难恢复计划

• 不要依赖他人
• 不要依赖SLA

KPI

关键绩效指标是一组测量标准，允许你确定某物状态并得出结论。定义良好指标很重要，因为结果通常是向高层管理人员传达的内容。

结论

这些只是几个例子，说明你可以做些什么来提高基本安全水平，而无需在设备上花费大量资金。这里列出的内容并不完美，不是圣杯，也没有所有答案。