ISACA Journal | 信息安全很重要:组织的网络韧性

在前几期专栏中,我提出了这个问题:面对网络攻击,企业中通常哪个职能部门应该主导网络韧性的发展?在对网络韧性的定义进行了一些争论和纠缠之后,我建议包括信息安全、业务连续性管理和业务领导在内的职能部门可以作为备选,每个职能都有潜在的优缺点。所有这些职能以及更多部门都需要参与,还需要一个项目管理办公室来牵头。

所有这些都提出了另一个问题:面对潜在的网络攻击,私营和公共部门的企业应该如何组织起来以建立韧性?回答这个问题的关键是,网络韧性不是限定于一个人的工作。它需要企业中几乎所有职能部门的参与。这种说法的困难在于,如果每个人都参与其中,那么就需要一个相当严格的并具备角色定义的组织,以防止互相拖后腿。

管理利益冲突

首先,需要一个流程来裁决冲突的利益,以保持组织的网络韧性。例如,销售部门可能希望系统重新投入使用,即使没有证明恶意软件已被从中删除,而信息安全部门将坚决反对此举。或者,即使无法正常运营,人力资源(HR)也可能强调留住员工,但在现金流受限的时候,首席财务官(CFO)会优先考虑降低成本。这些只是我知道的争议的例子——肯定还有很多其他的例子。

这些相互冲突的观点并非网络攻击应对所独有。在这些例子中,销售人员不了解运营,他们无法弄清楚财务在做什么。没有人了解 IT 在做什么。在许多企业中,组织的反应是建立数据、系统、资金和人员的孤岛,而不管高级管理层是否表示希望打破部门之间的分歧。

在危机中合作

然而,人们早就观察到,在危机时期,当不同职能部门面临共同的、潜在的生存问题时,部门之间的障碍就会消失。简而言之,在困难时期,协作可以持续提高绩效。团队合作在危机四伏的时候往往比一切顺利的时候更容易达成。具有广泛影响的网络攻击(即破坏性攻击)对于任何企业来说都非常难以承受。销售不能销售;操作无法运行;会计不能记账。公共部门也不例外:公共利益无法得到服务。挑战在于在攻击发生之前创建一个协作结构,以便在发生攻击时支持最广泛的整体利益。

处理网络攻击的危机管理团队

除非将应对网络攻击的决定提交给首席执行官(CEO),否则必须有一些组织来处理它们。事实上,有必要成立一个委员会来监督计划的制定和执行,以便在组织受到攻击时保持运转。许多企业都设立了这样一个委员会来应对一般的危机,其中当然包括网络攻击造成的破坏。然而,根据网络攻击造成的破坏的性质需要不同的技能,并且可能需要不同的决策参与者。

由于并非所有网络攻击都相同,因此网络攻击危机管理团队 (CCMT) 必须足够灵活,以便为合适的经理制定计划,以应对每种可能性。例如,披露员工的个人信息需要人力资源、隐私、法律和劳动关系的参与。销售和运营可能没什么好说的。对关键IT服务的攻击 - 例如工资单处理,会影响每个人,这种情况下尽管人力资源部门必须带头,但是所有其他职能部门也需要管理对自己部门人员的影响。对于勒索软件攻击导致多个功能丧失能力的情况,需要所有高管确定如何度过中断,直到系统和数据可以恢复。当然,无论可以设想哪种网络攻击,IT职能都将发挥重要作用。

如果企业打算使自己尽可能具有网络韧性,则必须在潜在的攻击场景发生之前对其进行攻击。CCMT 可能会进行正式演练,例如模拟或桌面测试。或者,它可能只是定期开会讨论已识别的威胁以及如果组织遭受网络攻击将采取的行动。当然,这些准备措施已经(或应该)作为业务连续性管理计划的一部分实施了很多年,事实上,由恶意行为者造成的中断或系统中断应该没有什么不同。

网络攻击和“常态”IT 灾难

许多企业长期以来一直为因天气相关事件、关键公用事业中断、火灾、地震和其他管理层无法控制的灾难而导致的停电做好准备。COVID-19 大流行表明,许多人能够承受缺勤和无法使用营业场所的情况。但是,这些负面事件都没有涉及外部人类力量对企业神经中枢的有计划、有组织、有针对性和恶意的攻击。更复杂的是,对手很可能是政府,也可能是政府支持(或故意忽视)的犯罪团伙。今天的大多数管理者都是在更早的时代接受教育的。当他们上商学院时,处理犯罪攻击并不在教学范围内。

很长一段时间以来,管理层不得不处理由信息系统中断引起的危机。但是,这些事件尽管令人痛苦,但通常时间较短,更容易解决,也不太普遍。从“常态”灾难中恢复的计划已经发展到这样的程度:在我所知道的许多组织中,所有系统都可以在组织对停机时间的容忍范围内恢复。从网络攻击中恢复则不是这样. 6 它们需要更长的时间,需要更多资源,并且更难终结。

组织事先规划

在遭受实际攻击之前召集网络攻击危机管理团队 (CCMT) 会将相互冲突的问题公开,并可能提前解决问题。此外,提前解决与网络相关的问题可以确定共同利益领域,而不是利益冲突领域。它有助于确定每个功能在攻击中必须解决的特定责任,以最大程度地减少不必要的重复工作。

除了首先防止网络攻击外,IT还必须准备好尽快从备份中恢复系统和数据。财务部门必须为持续可用的现金做好计划。人力资源部门必须决定如何以及是否支付闲置工人的工资。运营需要与供应商合作,以确保供应和原材料的交付。销售人员需要与客户合作,确定保持产品流动的方法。有些职能可能只需要计划在他们能得到的任何支持下尽其所能地工作。

只要所有这些职能都组织起来共同做好准备,那么它们就更有可能在系统失效时一起工作。

更重要的是,如果他们实施在攻击发生之前幸存下来所需的组织结构,他们可能会以协作的方式管理企业。

 

编者注:本文出自ISACA Journal 2023年第5期。尾注略。文章内容仅代表作者本人观点。
作者:STEVEN J. ROSS,CISA, CDPSE, AFBCI, MBCP,是Risk Masters International LLC的执行负责人。自1998年以来,他一直在撰写该杂志最受欢迎的专栏之一。罗斯于 2022 年入选 ISACA® 名人堂。
翻译:尹杭宇,CISM,PMP, ISACA微信公众号特邀通讯员。
校对:蔡俊磊(Joe Cai),CDPSE、CISA、CISM、CGEIT、CRISC、CCAK、Cybersecurity Audit、CISSP、CCSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA,ISACA中国技术委员会主席,ISACA微信公众号特邀通讯员,ISACA上海社区Leader,现任某国际酒店集团信息安全副总裁。