在Booz Allen Hamilton公司高管在2011年获得的信息安全的重要性艰难地回来时,黑客组织Anonymous声称,它有的博思艾伦的服务器侵入一个并删除了4GB的源代码,并发布了超过90,000军事电子邮件地址和加密的密码列表。
该违反服务器竟然是包含测试数据的开发环境“,但并没有真正的问题;这是一个警钟,”在咨询公司和政府承包商的信息安全主管Michael沃特斯说。“这是一个非常不愉快的经历,但它确实镀锌大量的投资 - 资本和人力资源 - 在做事情。该公司环顾四周,说:“我们一直在做这个,但是我们需要把更多的走向它。””
在接下来的一年,沃特世公司信息安全人员从12到70名员工的成长,预算增加,流程和治理显著改善。但是,安全计划是从来没有“完成”,并于2013年博思艾伦接受了第二次震动 - 这一次在内部威胁的形式 - 当近期租赁斯诺登,根据合同工作的国家安全局,泄漏的高度机密文件说明政府的监控程序。
博思艾伦迅速开除了斯诺登并进一步磨练其信息安全方案 - 这一直持续到今天练习沃特斯说。“我们不断更新我们的信息保密程序,无论在什么情况下,我们也将继续每年以加强我们的道德与合规计划,”他说。
今天,沃特世会把看齐,与那些世界上最大的企业信息安全他的计划,但他宁愿到那里没有这些重大的事件。
CIO / Computerworld / CSO
如今,许多公司希望避免类似的高调唤醒呼叫。经过多年的灾难性破坏的新闻,信息安全已经得到了最终高层管理人员的注意。287名的美国受访者的CSO,CIO和计算机世界进行了一次调查,有三分之二说他们的组织是企业高管的重点更多地放在信息安全比他们过去。而大部分的受访者表示,他们预计这一重点继续。然而,IT领导者仍面临挑战,当谈到对准业务需求,包括辩护费用,确定风险,并明确角色和职责的安全目标。
半数受访者表示,与安全相关的工作占他们IT预算的不到10%,近四分之三的受访者表示,安全工作占IT时间的不到25%。尽管有一半的受访者表示,他们会将组织的安全措施评级为A或B,但也有同等比例的人会选择C、D或F。
那么,企业如何才能从现在的状态发展到拥有一个有凝聚力的、有资金支持的、全面实施的信息安全计划呢?IT领导和分析人员分享了在这些浑水中航行并保护组织免受威胁的技巧。
强调意识
大约一年前,销售和市场营销咨询公司SiriusDecisions的客户开始询问他们与总部位于康涅狄格州威尔顿,公司共享信息的安全性问题。随着所有关于数据泄露的消息,他们担心一个薄弱环节可能危及他们分享的竞争情报。
IT副总裁Jonathan Block知道公司的infosec政策和程序是健全的。SiriusDecisions完全在云上运营,依靠的是那些安全措施远远超出公司自身能力的知名厂商。但他表示,客户咨询数量的不断增加,以及其他公司大量被高度曝光的安全漏洞,“点燃了我们的一把火”,突显了信息安全对公司内部和客户的重要性。
CIO / Computerworld / CSO
今天,SiriusDecisions与客户分享其服务提供商的安全认证和审计的详细信息,培训每一位员工的信息安全意识,特别是社会工程——它今天最大的威胁——并将其10%的IT预算专门用于infosec计划。
当被要求给公司的努力打分时,布洛克说:“我会给我们一个坚实的b。我们的目标是在这些事情上走在前面。”袭击的频率和严重程度总是会增加,但我们已经确定了造成最大伤害的袭击类型,我们将重点放在这些袭击上。”
创建的通信信道
首席信息安全官丰富Baich,谁成为2012年银行的第一CISO说,富国银行,高管们多更了解信息安全比他们四年前。
周围很多更好的协作和技术和非技术人员,业务部门和管理人员之间的沟通改善中心,他说。为了帮助那里,富国银行重新调整其安全层次。在2015年1月,Baich开始首席风险官,而不是首席信息官报告强调安全的基于风险的重点,以改善与董事会透明度。
“我不是搞技术的,”Baich说。“新的层次结构允许我们有效地创建一个通信通道,帮助人们理解语言的安全,安全的重要性,它如何适应更大,总体风险管理建设,并最终推动,使我们文化的一部分,[中]每一个体的团队成员是一个风险经理。”
CIO / Computerworld / CSO
百奇不愿给富国银行(Wells Fargo)的信息安全项目打一个字母等级,他说,即使是一个好的等级也可能招致潜在黑客的审查。但在2015年11月至2016年5月期间作为独立网络安全承包商在富国银行工作的埃尔维斯•莫兰德(Elvis Moreland),对富国银行为加强安全所采取的措施——包括采取联邦政府的措施——表示赞赏NIST网络安全标准,他帮助计划,作为银行的混合安全框架的一部分。“他们会工作的方式到A B容易”如果这些努力继续下去,他说。
莫兰建议NIST的网络安全框架,因为它同时适用于私营部门和联邦政府,因为它提供了三个十年的记录经验教训,可以适用于任何组织。“这是数亿美元的自由研究,”莫兰,谁现在是在源讯BDS北美的高级网络安全和风险管理顾问。“公司将覆盖80%的安全漏洞和薄弱环节,我们今天看到的”只是通过重新调整安全层级和采用NIST框架,他补充道。
给它一个旋
即使在2011年的攻击,沃特一直致力于博思艾伦的信息安全框架。然而,“这是挑战,以获得关注和预算,我需要,”他回忆道。
他很快了解到,语气和观点,他需要用沟通信息安全的IT部门,管理人员和业务部门都来把事情做好的关键。
CIO / Computerworld / CSO
如今,沃特斯表示,当他和他的团队与业务同事讨论安全需求时,他们可能会说,“我不是想让你做什么,而是我们需要遵守这个新规定,我可以帮助你找出如何做到这一点。”或者“外部攻击者试图窃取我们的数据或破坏我们的系统;我是来帮助实施保护和控制的,因为有这些外部力量。”
花在刀刃上
网络安全咨询公司VSC的创始人兼总裁加里•沃斯(Gary Vause)表示,许多公司严格控制信息安全预算,因为它们预计需要资源来扑灭下一场安全大火。他表示:“他们知道危机即将来临,但他们没有采取预防措施,而是选择了被动应对。”
在另一方面,他提醒说,在这个问题砸钱不是答案要么。制定公司的安全成熟度等级的理解 - 包括人员,流程和技术的图 - 能够帮助企业基于最严重的漏洞优先级预算,他说。
艾米丽Mossburg,德勤弹性服务业务的负责人,也认为它不是花更多的钱。现在的问题,她说,是这样的:“你是要优先考虑实际上可以伤害你的业务最的事情?”和你补救您的企业是最脆弱的地区?她建议注重在区域“威胁演员真的是你的业务后,并最终在那里的影响将是最大的。”
让它真正的
公司经常看的数据违反了易于识别的,有形的损失,如记录与个人身份信息的数量。这些当然应该保护,Mossburg说,但不太明显的损失实际上可以证明昂贵。
今年六月,德勤发布了报告这揭示了网络安全事件的14个商业影响,其中一半是隐性成本,包括知识产权损失、商标贬值和合同收入损失。这些隐性成本可能比最初的伤检和损害控制费用要昂贵得多,而且可能持续数年。
在一个假设的模型,德勤创建基于与客户的经验,成本的医疗保健公司失去病历显著数量超过十亿$ 1.6。这一数字中,只有3.5成本的百分比被认为是“上面的表面”的普遍预期,网络攻击之后即有形性,如后违反对客户的保障服务和网络安全的改善。
费用的其余96.5%为少有形命中,如丢失客户关系,增加保险费。这种“表面之下”的成本经常会为公司在入侵后的修复过程中的震动。
“我们需要让这个真实的人,” Mossburg说。“他们是如何使用它,什么可能是了解行业,细微之处,以他们所使用的系统类型,它们的相互联系给第三方,数据的类型,他们有,这是非常重要的。”所有这些影响因素,随着事件的类型一起,使场景独特的每家公司。“我们已经有很多的对话[与客户]什么是场景,他们应该被造型为自己的,”她说。
制定明确的风险是重要的第一步,在CISO的网络安全解决方案供应商Optiv办公室的副总裁迈克尔·艾森伯格说。“当你可以说出一个风险,即董事的经营和董事会同意,那么你就可以拿出一个计划,以减轻和管理风险” - 即包括额外的资金和资源的计划,他说。
不祥之兆
在博思艾伦的匿名入侵事件过去五年之后,沃特斯仍然展示着一份装裱好的《华盛顿邮报》(the Washington Post)关于他办公室墙壁遭到攻击的文章。“对我和我的领导团队来说,”他说,“这是一个提醒,它永远不会再发生。”
这个故事,“在企业infosec的浑水中航行”最初是由CSO 。