Forrester 2011年安全策略建议

桃扇骨 2022-04-03 11:42 227阅读 0赞

2011年1月25日，Forrester的VP和研究总监Khalid Kark在NetworkWorld上给企业和组织的CISO们提出了 [一份2011年的安全策略建议][2011]。【注：CNW上有一份 [中文译文][Link 1]，不过译文有若干处不达意:<】  
Khalid Kark建议从三个方面进行考量：  
1）更好的治理结构。尤其是在面对社交网络、移动互联网和云计算大势所趋的情况下。应该主动的去考虑这些新技术对企业和组织的影响，制定一份可接受的风险管理策略。  
2）更成熟的安全流程，尤其是针对数据保护的流程。这个流程相比之前的反应式的，要更加主动；不仅限于身份管理，更要做到信息与访问控制管理；除了要有突发事件处理计划，更重要地是要有一份健壮的安全破坏响应计划。  
3）更强大的分析与报告能力，重点是安全的可见性、可测量性（可度量性）和可决策性。其中，决策支持可以分为三个层次：运维的，风险的，以及以业务为中心的。每个层次都需要不同层次的数据提供支撑。  
**这里，我想对他提到的第三点多谈一点自己的体会。**  
可见、可测量和可决策应该是安全管理的三个递进和循环渐进的过程。正如西方管理学的普遍原则一样： **你无法描述就无法测量，而你无法管理和改进你无法测量的东西**。描述->测量->管理也是一组递进关系。暂且不论这种方式对于安全管理是否能够真正有效，至少我们值得深入探讨KarK及其Forrester的安全管理思想。  
可以说，对于各级安全管理角色而言，都需要作出自己的安全决策，不论你是安全运维人员，或者是风险管理经理，抑或是领导层。  
对于一二线的运维人员而言，SIEM应该是一个比较有效的分析工具，可以帮助他们看到重要的安全事件和突发事件。当然如果使用不当，可能适得其反，陷入事件的汪洋大海。对于风险管理经理而言，一套行之有效的风险管理流程和工具是有必要的。而对于高阶的安全主管和领导层而言，必须知道IT风险之于企业和组织业务意味着什么，也就是业务风险。  
在可见、可测和可决策三个环节种，最关键的是可测量，也就是安全测量，或者叫安全度量。安全测量也是可以分为不同层次的，对于运维人员，风险管理人员和决策层而言，有各自的测量数据和测量指标。在运维层，测量指标更加偏IT，而在决策层则更加偏业务。  
最后，回到Kark的这个文章，正如他在开篇所述：Forrester's research shows that a majority of challenges for security professionals all relate to business orientation and alignment（安全专家们的主要挑战都关乎业务——面向业务或者结合业务）。他举例到：Many senior business and IT leaders are asking CISOs to better support and align with the business and IT objectives, requesting regular interactions and updates from security teams.

[2011]: http://www.networkworld.com/news/2011/012511-forresters-2011-security-strategy.html
[Link 1]: http://www.cnw.com.cn/news-report/htm2011/20110128_217112.shtml