ISACA Journal | CISO应如何构建全面的安全文化与风险缓解策略?

安全是每个人的责任。虽然在组织中培养安全文化并非易事,但却是必不可少的。

声誉保护、韧性、快速恢复、数据保护以及适应复杂攻击是在组织中建立有效网络安全文化的几个关键点。实际上,在2023年ISACA的“网络安全现状”在线研讨会上,ISACA专业实践与创新总监Jon Brandt表示:“对于网络安全攻击相关的担忧,首先也是最重要的是组织的声誉,其次是知识产权。” Adobe 高级经理 Chris Parkerson 补充道:“我们的重点是我们的业务韧性。如果发生一起不良事件,我们能够多快恢复系统和业务在线,如何限制数据泄露,以及如何确保能够抵御这些复杂的攻击?”

为了培养安全文化并获得员工的认可,重点关注提高安全意识和评估现有安全措施的有效性非常重要。首席信息安全官 (CISO) 或其他安全职能岗位必须领导、提供资源并提供支持,以在组织中建立安全文化。通过对员工进行网络安全最佳实践教育并让员工参与其中,组织可以培养安全作为共同责任的文化。CISO对组织目标的理解程度以及相应的安全举措的调整程度可以帮助他们识别普遍存在的无效安全措施和浪费的资源。

然而,仅仅关注安全而不考虑其对运营效率或客户体验的影响可能会导致潜在的缺点和限制,例如阻碍安全团队与其他部门之间的增长和协作。此外,高层管理人员的支持不足给有效分配资源和实施必要的变革带来了挑战。这些变量意味着每个组织都有独特的安全环境,CISO必须不断评估组织的具体挑战。他们应该相应地调整策略,以保护宝贵的资产并维持稳健的安全态势。CISO必须运用从网络事件、勒索软件攻击和威胁中汲取的经验教训来增强组织的网络安全防御能力。

沟通与协作

CISO应采取积极措施来加强组织内的沟通与协作。这包括优先与利益相关者如项目经理、高管、IT团队、员工和外部合作伙伴建立有效的互动。

为了强调其重要性,我们以医疗保健行业为例,由于 IT 和临床人员之间缺乏沟通,该行业特别容易受到数据泄露的影响。网络安全中沟通与协作的重要性体现在以下事实:60%网络攻击是由内部人员造成的。WannaCry 勒索软件攻击在2017年影响了全球范围内的组织,其中英国国民医疗服务体系由于不同部门之间缺乏沟通和协作而受到的影响尤为严重。组织的安全团队和组织之间要有有效的沟通渠道才能使其他部门更快地发现违规行为。当不同的团队共享信息和担忧时,无论是安全团队还是第三方发现异常活动,他们都可以迅速采取行动。

IBM和Ponemon Institute的《2023年数据泄露成本报告》研究了2022年3月至 2023年3月期间发生的数据泄露事件影响的 553个组织。报告指出,数据泄露的平均成本在2023年达到历史新高,达到445万美元,51%的组织计划因数据泄露情况而增加安全投资。协作事件响应可以帮助最大限度地减少违规行为的财务和时间影响。当各个部门协同工作时,可以有效地整合资源。

有趣的是,该报告还指出,在安全策略中使用人工智能 (AI) 和自动化功能的组织,数据泄露成本相比其他组织少了176万美元。当安全人工智能和自动化可以与跨职能团队共享时,它们会更加有效这些知识可用于预防或应对安全事件。

通过建立清晰的沟通渠道和促进协作,CISO可以协调安全工作,防止优先事项不一致,并确保有效应用吸取的经验教训,以增强整体网络安全措施。CISO应该:

  • 定期举行跨职能会议和培训。

  • 建立统一的事件响应计划。

  • 实施用户友好的安全策略。

  • 与外部安全社区和咨询机构合作。

因此,沟通和协作打破了组织内的信息孤岛,从而实现了更高效、更协调和更具成本效益的网络安全方法。

安全意识和培训

SANS Institute和IBM的一项研究发现,95%的数据泄露是人为错误造成的。Verizon2023年数据泄露调查报告 (DBIR) 显示,74%的数据泄露涉及人为因素,例如网络钓鱼攻击或社会工程。该报告还指出,社会工程攻击的比例已从 2022年的14%增加到2023年的21%。

忽视考虑员工的安全意识和培训的优先级是一个常见的错误。意识培训向员工传授安全最佳实践,最大限度地减少人为错误,并在组织中创建安全意识文化。如果没有适当的培训和意识,员工可能会在不知不觉中做出危险行为,例如点击可疑链接、不当共享敏感数据、使用弱密码、离开工作站时不注意安全以及忽视软件更新,所有这些都可能危及安全。

CISO应确保员工充分了解安全最佳实践、潜在威胁以及他们在维护安全环境中的角色和责任。这可以通过与人力资源团队合作进行培训集成、推广用户友好的安全策略以及根据特定角色、措施和文化定制培训来实现。培训计划的持续进行也至关重要。

主动安全措施

CISO必须了解采取主动安全措施的价值而不是依赖被动方法。埃森哲报告称,“虽然35%的受访者表示,他们从一开始就将安全控制措施嵌入到所有转型计划中,但仍有18%的受访者在事后才部署安全措施。”

创建安全文化需要组织中每个人的集体努力。每个员工都应该积极主动地遵守安全策略和最佳实践。此外,投资支持收集威胁情报等策略的技术有助于检测安全事件。入侵检测和预防系统也是缓解事件的宝贵投资,因为它们可以防止严重损害。

供应商和第三方风险管理

组织通常依赖外部供应商和第三方来提供各种服务和解决方案。Ponemon Institute2022年的一份报告显示,所有行业中55%的组织表示,管理第三方是一项艰巨的任务,而且会消耗资源。此后,更多的第三方数据泄露事件曝光,危及数百万人的个人信息。2023年8月,英国大都会警察局宣布涉及其供应商之一的IT系统的安全漏洞。6月2023年,据证实,许多组织以及多个美国政府机构都经历了与利用 MOVEit Transfer(Progress Software 开发的企业文件传输工具)中的漏洞相关的入侵。

因此,必须实施强大的供应商风险管理流程来评估和监控这些第三方的安全状况。这些流程包括加强合同安全协议、持续监控供应商安全实践、优先考虑持续风险管理以及从过去的错误中吸取教训。组织应该让第三方对安全负责,明确保护数据是共同的责任。忽视这些策略可能会使组织面临外部合作伙伴潜在的违规行为。

在2013年Target数据泄露事件中,网络犯罪分子通过第三方供暖、通风和空调供应商获得了对塔吉特网络的访问权限。该供应商的凭据遭到泄露,这使得攻击者能够渗透Target的系统并窃取4100万客户的个人信息。为了防止这种情况发生,Target可以实施更强大的供应商安全实践,例如多因素身份验证 (MFA) 和限制对关键系统的访问,这将使攻击者更难破坏其网络。

在ISACA的“2023年网络安全状况”网络研讨会上,Parkerson指出:“当您将其他供应商添加到您的组织中时,您会增加风险并降低韧性。安全和信任是任何组织的基本能力。” Brandt补充道,“组织内部必须有基线能力,而不是被外部服务提供商和顾问淹没。”

定期风险评估

美国国家标准与技术研究院 (NIST) 的一项研究发现,定期进行风险评估的组织遭遇数据泄露的可能性会降低60%。Facebook在2018年面临重大数据泄露,其中事件发生后进行的根本原因分析表明,缺乏适当的风险评估是导致数据泄露的原因。定期进行风险评估对于识别组织内的安全风险并确定其优先级至关重要。CISO应确保以适当的时间间隔进行风险评估,并将评估结果用于推动安全改进和资源分配。达信和微软进行的全球网络风险认知调查发现,定期进行风险评估的组织在网络风险导致重大事件发生之前发现网络风险的可能性是其他组织的5.5倍。

CISO应该明白,完全消除风险是不切实际且成本高昂的。相反,他们必须专注于实施风险缓解策略,并将资源分配到能够对组织的安全态势产生最重大影响的任何地方。

持续监控和威胁情报

组织必须实施持续监控和威胁情报计划,以有效检测和响应不断变化的威胁。仅仅依靠防火墙和防病毒软件等静态安全措施是不够的。实时监控至关重要。如果没有它,组织很容易受到绕过传统防御的新威胁的影响。例如,领先的IT管理软件提供商 SolarWinds在2020年成为高度复杂的供应链攻击的受害者。该攻击在几个月内未被发现,从而使攻击者能够渗透到众多组织中。

对网络流量的持续监控和分析在识别和减轻网络威胁(例如网络钓鱼活动)方面发挥着至关重要的作用。通过检测与活动相关的可疑电子邮件地址、恶意URL和恶意软件签名等入侵指标 (IOC),安全团队可以及时响应威胁。与其他组织或安全供应商共享这些IOC有助于防止网络钓鱼活动的蔓延,并能够实施有针对性的防御来应对类似的攻击。

另一种主动方法是利用威胁情报源,提供有关已知恶意IP地址、域或文件哈希的实时信息。通过将这些源集成到监控系统中,组织可以主动识别并阻止与恶意活动相关的来源的连接或通信。这使组织能够利用最新的威胁情报来加强防御,从而显着降低网络攻击成功的可能性。

密切关注新出现的威胁和漏洞是每个人都关心的任务。应鼓励员工报告可疑活动并分享威胁情报。通过持续监控网络流量并利用威胁情报,组织可以主动识别IOC 并领先于不断变化的威胁。将这些实践整合到他们的安全策略中可以增强他们检测和响应新兴威胁的能力,降低网络攻击成功的风险并保护关键资产。

遵守法规和标准

组织必须了解并遵守相关的安全法规和标准。遵守合规性法规有多种目的。首先,它可以帮助组织避免因违规而受到处罚、罚款或法律诉讼,从而降低法律和财务风险。其次,合规性通过展示对维护敏感数据安全和隐私的承诺,向客户、合作伙伴和投资者等利益相关者展示信任和信心。

2023年,Meta因违反欧盟通用数据保护条例 (GDPR) 被处以开创性的12亿欧元罚款,亚马逊、TikTok、谷歌和英国航空公司紧随其后。一家美国企业因未能遵守美国健康保险流通与责任法案 (HIPAA) 法规而被罚款 150 万美元。

为了避免类似性质的罚款,CISO必须随时了解不断变化的合规性要求,并确保其组织维持必要的控制和文档来履行义务。

治理、风险和合规 (GRC) 实践(例如建立GRC框架和进行合规审计)使CISO及其团队能够建立强大的控制机制并监控法规的遵守情况。此外,他们还强制维护适当的审计和评估文件。CISO应与法律和合规团队合作,并优先考虑利益相关者的信任。

事件响应和业务连续性

及时检测、遏制安全事件并从中恢复对于最大限度地减少对组织运营、声誉和财务的影响至关重要。因此,制定明确的事件响应计划和业务连续性策略至关重要。

Equifax在2017年披露,黑客从其服务器窃取了约1.47亿人的个人信息。此次泄露是由于Web应用程序中的漏洞未及时修补而造成的。该企业因反应迟缓、缺乏有效的事件响应计划而受到严厉批评。

为了避免出现此类情况,CISO必须培训其团队并使其做好准备,以进行有效的事件响应。程序不完善可能会导致延误、响应不足,并在安全事件期间加剧损害。埃森哲和波耐蒙研究所 2020年网络犯罪成本研究报告称,制定快速有效的事件响应计划的组织可以将网络攻击的平均成本降低 200万美元。有效的事件响应计划取决于明确定义的角色和定期培训、高效的沟通、监控机制以及通过事后审查持续改进。与业务连续性和合规性要求的集成也很重要。为了增强网络安全事件的准备和响应能力,组织应进行事件响应桌面演习,其中涉及模拟攻击场景。

持续学习和适应

最后,CISO们必须认识到网络安全格局不断变化的性质以及持续学习和适应的必要性。通过订阅信誉良好的网络安全出版物、参加行业会议以及参与有关新兴威胁、行业趋势和最佳实践的信息共享网络来了解最新信息,对于维持有效的安全策略至关重要。与 ISACA、ISC2和信息系统安全协会 (ISSA) 等专业组织合作也可以提供宝贵的见解和交流机会。

结论

高效的CISO了解安全威胁和技术的快速发展。他们明白持续监控、威胁情报收集和相应调整安全措施的必要性。紧跟最新的安全趋势并保持主动的安全态势对于有效应对新出现的威胁至关重要。

编者注:本文出自ISACA Journal 2024年第2期。尾注略。文章内容仅代表作者本人观点。

作者:JAYAKUMAR SUNDARAM, CISA, ISO 27001:2013 LA/LI, CC,是 SVAM International Inc. 的网络安全首席顾问。他在信息安全、网络安全以及治理、风险和合规实践领域工作了 12年以上,在信息系统和 IT 交付管理方面拥有 30 年的经验。

翻译:尹杭宇,CISM,PMP, ISACA微信公众号特邀通讯员。

校对:蔡俊磊(Joe Cai),CDPSE、CISA、CISM、CGEIT、CRISC、CCAK、Cybersecurity Audit、CISSP、CCSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA,ISACA中国技术委员会主席,ISACA微信公众号特邀通讯员,ISACA上海社区Leader,现任某国际酒店集团信息安全副总裁。