数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
一、推进信息安全工作的现状
这一个系列,我想跟大家聊一下数字化时代的信息安全问题。
信息安全是一只灰犀牛,大家都觉得很重要,影响很大。但是因为过于常见,习以为常,暂时还没有遇到,常常被大家有意无意的忽略。但是我相信这个话题大家还是会比较感兴趣,各位CIO朋友应该也有很多感想,下面我就来抛砖引玉聊一聊我的一些思考。数字化转型网www.szhzxw.cn
先说一个我自己的故事,当年在施耐德工作的时候,在一个夏天的周末,遇到了席卷全球的勒索病毒。正好我从国内飞到巴黎参加一个全球的会议,下了飞机在准备过海关,打开手机一看,群里和邮箱都炸锅了。全球勒索病毒大爆发。施家的几家工厂也中招了,影响了几条生产线。小伙伴们很给力,已经组织了一个作战室以及微信群,每半个小时共享一下进展。我的印象很深刻,从过海关那一刻起到后面一两天我都是在微信群里跟大家交流,电话上听进展和给一些意见,总算把损失降到最小,隔离了中毒的机器,重装了很多流水线上的电脑,万幸的是影响没有那么大,也没有真正付赎金。后面几天,在会议中跟其他大区的CIO和公司的信息安全负责人每天大会开好开小会,了解影响面,做预案跟进行动等等。
原来工厂天天盯的是成本,不愿意升级电脑,不愿意投入IT。出了事情之后,工厂对IT投入重视多了,并且多年的问题有机会得到解决。但这是祸兮福所依,我个人对于安全的认知和重视,也是通过这件事情之后才慢慢提升的。后来在依图也监管安全工作,推动了很多和信息安全相关的工作,对于信息安全的理解也更加深刻了。数字化转型网www.szhzxw.cn
上面发生的事情,其实在每个企业都时有发生。欧洲出来GDPR的时候也是狠狠撞了一下很多企业的标准。咱们国家出台个人数据保护的法规,也是让很多企业特别是外企折腾了很久,甚至影响了很多国际大公司的IT策略,大数据中心的策略得到很多的挑战。
“ 既然安全这么重要,那么在企业里面安全有没有得到足够的重视呢?有没有足够的资源投入呢?”数字化转型网www.szhzxw.cn
1、在互联网大厂以及技术类公司,还有数字化转型成为技术公司,比如平安,安全动辄几十上百人甚至千人,安全的重要性毋庸置疑。这个跟这些企业的业务大部分都是跑在线上,数字化业务是公司的主体,因此信息安全就是一个生命线,需要大量持续的投入。
2、而在传统企业,信息安全是一个比较尴尬的角色。你说不重要吧,这个岗位又是必须要有的。但是你说重要吧,鲜有在信息安全上投入比较多人了,超过5个人的安全团队都非常之少,有不少是基础架构的人员兼任。由此可见,一方面大家都同意安全很重要,但是在问到安全到底是什么,包含哪些方面,我们现在安全的成熟度到底怎么样?安全的工作应该怎么开展?这些问题很多的CIO都不一定很清楚,更不要说企业的一把手和其他高管的。
那么CIO们应该怎么对待安全这个话题呢?需要做些什么来提升企业的安全成熟度呢?
二、到底什么是信息安全?
首先,我们先拆解一下信息安全这个话题。数字化转型网www.szhzxw.cn
我们先从安全开始说,我的这个理解源于我在依图的时候,我当时在找安全相关的负责人,接触了一些安全领域的专家。通过这些面试和专家的讨论,慢慢也帮助我对于安全有了更深的理解。这个方法也是CIO们可以借鉴的经验,对于你不熟悉的领域,可以通过大量的面试去了解。
那么安全包括什么?包括:物理安全、信息安全、数据安全、生产安全等等。
生产安全:在企业里面生产安全的责任人最清楚,工厂一般都有SHE,也就是安全健康环境保护部门。
1、物理安全:责任人大多数是行政。数字化转型网www.szhzxw.cn
2、信息安全:也没有一个很明确的规定,在有的CIO的岗位职责描述里面,可能都没有这一项。但是大家心目中信息安全一般是落在CIO头上的。
3、数据安全:也是一个比较有意思的话题,这个是随着数字化的出现才慢慢变得重要的领域,数据安全是不是信息安全的一部分,还是数据安全,是一个单独的领域,这个也是不清晰的,不同的公司可能有不同的情况。比如有些公司IT跟数据团队在不同的组织,这个时候数据安全到底是谁来负责,就需要明确一下的。
4、隐私安全:跟安全相关的是个人隐私保护这个领域,这个是不是信息安全的范畴,是应该在信息安全管理里面一起考虑,还是需要单独的有一个组织来管理,对于公司业务牵涉到很多个人隐私相关问题的可能个人隐私就需要单独拿出来考虑了,不见得CIO就一定是合适的。最终负责人有的时候可能法务部更加适合来牵头负责。
这么拆解一下之后,大家是不是更加能够理解为什么信息安全的工作比较难,因为信息安全、数据安全、个人隐私这些话题都是交织在一起,有的企业放在一起管很合理,有的企业放在一起就太大了,不合适。特别是数字化时代,这三个领域都是很大的话题,可能分开管理更加合适。
接着我们来拆解一下信息安全这个话题,如果我们跟专门帮助企业做信息安全的咨询公司讨论,或者我们去参考信息安全的各种认证各种理论,或者我们去对照信息安全领域的一些认证体系,就会发现信息安全包含的内容很大,基本上都是十几个控制域,几十上百个控制点。简单举几个例子,比如说安全意识、网络安全、终端安全、开发安全、操作安全等等。这些控制域下面比如网络安全就有很多的控制点,不太了解的朋友们估计都会倒吸一口凉气,安全这么复杂吗?反正我在开始真正了解安全工作之后,对负责安全工作的同事肃然起敬,他们应该得到尊重。数字化转型网www.szhzxw.cn
三、实操中的思考
那么帮助大家对于信息安全有了一些更深的理解,接下来跟大家分享一下我在实操中的一些思考,供各位CIO朋友和IT团队里面负责信息安全的同事参考。
很多公司有CISO的说法,也就是首席信息安全官。有的CISO是在IT之外,不是汇报给CIO的,更多的是CISO汇报给CIO。正如我前面所说,信息安全这个话题非常大,完全没有可能在几分钟之内讲清楚怎么做。所以更多的是提出一些思路供大家参考:
1、建立对信息安全正确的认知
CIO自己要建立这样的一种认知:信息安全是一个持续推进的事情,绝对不可能一蹴而就,而且信息安全没有一个做完的概念,它是一个一直在做的事情。
就好像你在不断的建筑城墙防御,但是这个城市的边界不断在延伸。新的攻击手段也不断在出现,最关键的是人在不断的流动,而且大家对于便利性体验的需求一定是高过安全的。在这样的情况下,信息安全是做不完的,这个认知一定要有,而且要同步给CEO和高管层。所以安全的认知教育首先从企业核心管理层开始。数字化转型网www.szhzxw.cn
2、企业员工的安全意识教育
信息安全的问题,80%以上是人的问题,不是技术的问题,绝大多数的安全事故是人造成的。
有人在外面出差,连了一个WIFI,被植入了一个木马;有人拿着家里的无线路由接入公司的网络插口被入侵了;有的人电脑或者手机丢了,信息泄露了;有人随意拿在外面的U盘插到公司的电脑中;有人收到不明来历的邮件,随意点开一个附件;有人上传的公司代码到公开的代码平台里面有明文的IP账号密码等等。
这些现象每天都在发生,有些造成了安全事件,大多数没有造成问题,但是如果造成问题,可能带来的是巨大的损失。所以安全意识教育是企业里面信息安全工作的重中之重。但是问题是很多CISO包括CIO都是技术出身,在推进安全意识这件事情上不擅长,这个就需要解决的一个能力问题。
3、建立信息安全委员会
信息安全是牵涉到公司运作方方面面的事情,需要在公司层面建立一个信息安全委员会这样的组织。一方面对接公司的核心管理层,另一方面推进安全的各项工作,包括优先级的设定、安全事件的响应等等,这个信息安全委员会应该是跨部门的公司高层之一负责的虚拟组织。数字化转型网www.szhzxw.cn
4、寻找专业咨询援助
因为信息安全是一个很专业也很复杂的事情,建议可以找一个比较专业的咨询公司,帮助企业做一个安全的评估和安全的规划项目。一方面帮助企业建立一个。全成熟度的衡量体系,让大家特别是企业管理层了解企业的安全成熟度在什么水平,也可以帮助CIO在争取资源投入上有依据。另一方面,帮助理清企业信息安全相关工作的整体规划。这么多领域优先级怎么排?怎么有计划的来推进工作。最后在信息安全的团队建设和资源投入上,结合公司的情况合理规划在资金和人员投入上不能放在低优先级去考虑。
声明:本文来自榕锦IT高管共赢圈,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于榕锦IT高管共赢圈;编辑/翻译:数字化转型网萍水。
