一个CSO上任之后,他的第一个任务应该是什么?排除一些紧急事件处理的因素之外,我认为应该是设计和明确企业的信息安全目标和路线图。CSO上任一定是承担了企业管理层对信息安全的一些期待,那么如何满足管理层的这些期待?除了一些短期应对举措外,就必须要拿出一个中长期的、可行的信息安全目标和路线图。所谓“目标”,就是信息安全要做成什么样子、是一个结果状态;所谓“路线图”,就是通过怎样的实施路径、在不同阶段达到怎样的状态,并最终达到这样的架构状态。这个架构规划不止要给老板看,也要给自己看、给团队看、给兄弟部门看,以便在后续的工作中形成统一的目标和语言。
那么,如何设计一个企业的信息安全目标和路线图呢?以下方法论和认知更多地源于我既往的工作经验,可能更适合科技研发型企业的信息安全架构规划。
1. 明确信息安全工作的价值、定位
价值、定位的定义已经在“cso的四个核心工作”章节中描述过了,这里再简要摘录一下。这里再继续强调一下价值和定位的重要性,它就好比在战争中一支部队知道自己为什么而战,你往往就能获得最终的胜利,
(1)团队价值:就是用1-2句话讲清楚信息安全团队在公司里面的主要贡献、功能是什么。
(2)明确定位:定位就是讲清楚安全团队做什么、不做什么,现在做什么、将来做什么,把边界、尤其是“不做什么”的边界划清楚。
2. 梳理信息安全工作的输入
任何工作都是有收入才有输出的,那么信息安全工作的收入都有哪些?
(1)行业趋势:分析企业所在的行业的,未来3到5年的发展趋势,要从中挖掘出对于信息保护以及人才保留的态度。比如科技研发型行业往往是资本密集型或者知识密集型,因此对于信息保护和人才保留是高度重视的;金融行业对于资金安全、客户信息保护(尤其是后者)这两年看得特别重;O2O行业业务完全则非常重视。
(2)企业发展和经营战略:也都会制定自己的发展和经营战略,都会明确业务拓展、公司治理、信息化方面的要求,结合信息安全团队的价值和定位,也就能够从中挖掘出对于安全的需求。
这里特别想多说两句,信息安全团队如何能够在企业中发挥独特的、不可替代的价值,一定不要只局限在“机密性、完整性、可用性、可追溯性、抗抵赖性”这些理论层次,一定要去做保障企业利益最大化的工作!怎么保障企业利益最大化?“保增长、保核心竞争力”是核心的两条,在某些行业还可以加上“保障竞争最激烈的领域”。从这三条出发,挖掘并满足业务安全需求,可以说是无往而不利。
(3)老板和核心业务部门的要求:如果以上行业趋势和企业经营发展战略实在挖掘不出什么内容,那么就去找老板和核心业务部门的主管去调研,获得他们的意见和需求。老板是公司资源的决策者,核心业务部门为公司创造了核心价值,解决他们遇到的信息安全问题、满足信息安全需求,既能够最大化地保障企业利益,也能够在公司内获得最大程度的支持,这听上去或许有点公司政治,但无疑是正确的。绝大部分企业的人力资源部门和财务部门,应该也包括在核心业务部门中。
(4)IT战略和架构:都说信息安全工作是三分技术、七分管理,但在当今社会中,几乎无法脱离IT环境来从事信息安全管理工作。所以整个IT的战略和架构,对信息安全无疑有深刻的影响:比如IT架构是不是会越来越多的采用虚拟化?企业经营所需的大数据分析或跨系统数据整合流动,对于数据安全有什么挑战?IT组织架构和工作职责的调整带来的安全管理流程的变化是什么?等等,不一而足。
(5)过往安全事件和漏洞:分析过往2-3年里企业内部和外部,发生的典型信息安全事件,或暴露的信息安全漏洞。应着重分析其根本原因,并在后续的架构和路线图中,采取措施、避免再犯。
(6)审计发现问题:调阅过往2到3年里信息安全审计中发现的问题,并着重分析其根本原因,在后续的架构和路线图中采取措施,避免再犯。这里“信息安全审计”包括(1)访谈和走查为主要形式的内部检查;(2)渗透测试;(3)后台安全工具审计或运营;(4)外审。
(7)合规要求:应全面梳理企业应遵守的信息安全合规要求。合规要求种类包括(1)国家或地区颁布的强制性法律法规(如中国政府颁布的《网络安全法》);(2)行业规范或标准(如工信部颁布的对电信运营商、互联网服务提供商的《电信和互联网用户个人信息保护规定》;(3)与企业客户、供应商签署的商业合同中的信息安全条款;(4)各种ISO管理标准、体系中附带的信息安全要求;(5)如果是上市公司,还要遵循上市监管要求当中所包含的信息安全要求;
(8)同行做法:挑选一些优秀的同行,参考并借鉴他们的管理技术思想是非常必要的。切记生搬硬套、直接照搬别人的具体做法,而不顾企业的实际情况。
3. 大致确定信息安全目标
需求、输入分析完毕之后,这时就要基本确定未来3-5年的信息安全目标。再次强调,目标就是“确定要解决什么风险以及优先顺序”,而不是做什么动作。举例:目标1是“杜绝全公司IT系统的账户被盗用、滥用风险,以及人员离职、调岗之后的权限不受控风险“”;目标不应该是“部署一个统一帐号平台,管理全公司IT系统的帐号认证和授权”。
4. 以风险评估或审计的手段开展调研,以做需求的方法进行分析,找到企业信息安全当前存在的主要不足
目标确定了,下一步动作就是找差距。这个动作的3大要点
(1)
以风险评估或审计的手段开展调研:是的,传统的风险评估方法依然是普遍适用的。不但要有访谈,而且一定要现场查看;不但要听,还要有证据、看实证。这一步动作我建议CSO一定要亲自参与,一手信息和下属汇报的信息一定是有很大差别的。
(2)
以做需求的方法进行分析:做需求的的方法就是不断地问“为什么”,进而找到问题、需求的根本原因。是投入不足?意识不足?网络架构不合理?人员能力不足?找到根本原因才能对症下药解决问题。
(3)
找到主要不足:如果不是特别有钱、请了咨询公司,大多数企业应该都是自己做差距分析。在人力和时间都有限的时候,找到2-3个主要差距并加以改进就可以了。
5. 明确3到5年之后,企业信息安全的目标
第3步已经基本确定未来3-5年的信息安全目标。为什么是“基本确定”?因为实际上在差距分析的过程中,有可能发现新的风险和问题,进而需要调整目标。因此,现在我们就需要明确企业信息安全的目标。那么,这个目标应该包括哪些内容?
(1)
信息安全团队的价值和定位;
(2)
细分信息安全各个维度,描述各个维度要解决什么问题,以及达到的状态。这是“目标”的核心内容;
(3) IT系统架构和配套的主要信息安全策略;
(4)
信息安全团队的组织架构、职能分工、运作机制,以及与兄弟部门的合作机制;
关于(2),一定会有人问从哪些维度描述?这时,上一篇提到的“如何评价一个企业的信息做的好不好”就派上用场了。可以是Person、Process和Tech,也可以是纠正预防、阻断拦截、发现响应、打击威慑,或者其他维度,自由选择吧。这样保证老板、兄弟部门看得懂,既能够和未来的工作衔接的上,也可以保证评价维度的一致性,一箭三雕。
关于(3),推荐参考ESA/EISA/ToGAF进行IT架构的分析。我认为其核心思想应该是首先分析业务流程,然后再分析其中的数据流,然后才能采取恰当的安全策略和架构进行保护。这几个方法我也不是很熟悉、只能说粗浅地用过2、3次而已,算不得经验丰富,就不班门弄斧了。
6. 对以上输入的需求、找到的问题,进行优先级排序,进而确定企业信息安全的路线图
这一步就比较简单了,基于目标和差距,确定要采取哪些改进措施、实施的时间表,就把整个路线图展现出来了。
改进措施不要局限在做项目、上系统、部署产品,这是很多人都会犯的毛病。很多企业的信息安全其实不缺工具、不缺策略、不缺人,但就是老板和业务部门不满意,往往是后续的检查、审计和运营没做好、甚至是没做,也就是PDCA的check、assessment没做。因此在路线图里面,审计和运营一定不要缺失。
有的企业可能还会遇到这样的问题:IT架构甚至IT工具还不是很完善,但是企业的信息安全还必须要采取措施抓起来,这个时候其实很考验CSO的智慧。我对这种情况的建议是,CSO要勇敢地跳出束缚,推动甚至是积极参与IT架构的建设和完善过程中,要知道虽然信息安全≠IT安全,但是IT架构和信息安全架构就是“皮之不存毛将焉附”的关系。如果可以的话,CSO可以一手抓信息化建设,一手抓信息安全。
从我过往的经验来看,对于无论金融企业、互联网企业还是科技研发型企业,对数据的分类分级依然还是信息安全的基础工作之一,不可或缺。其核心原因是要找出防护重点,这样才能有最好的投资收益。
7. 估算资源,和兄弟单位、老板达成一致
信息安全的目标和路线图规划获得兄弟单位的支持和认可是很重要的一环,我在《CSO的4个核心工作》中讲过,沟通并达成一致是CSO的核心工作之一。是时候发挥你强大的小宇宙了!
老板的支持和认可也是必不可少的。CSO要在这个环节保证老板参与了、听懂了、认可了,并在资源上给予支持。当然了,资源总是有限的,资源不够、能力补上嘛。
8. 半年或者一年为界,滚动更新
达成一致之后,该做的就是执行和滚动更新了。滚动更新的频率根据行业、企业的差别不同,一般以半年或一年为宜。