CISO参考:企业如何做好信息安全规划Word下载.docx
《CISO参考:企业如何做好信息安全规划Word下载.docx》由会员分享,可在线阅读,更多相关《CISO参考:企业如何做好信息安全规划Word下载.docx(10页珍藏版)》请在冰豆网上搜索。
2、规划的高度
横向上,要与行业情况进行对比。
例如规划安全人员规模时,需要了解所在行业IT技术在公司里占比多少?
制造业,可能就1%-2%之间,但如果是高密度行业应该大于3%。
如果IT技术人员占比增长时,安全人员占比却没有增长,就需要
反思是哪里出了问题。
同时,在现有比例下我们应该做些什么?
纵向上,要对技术或趋势具备前瞻性,考虑其对IT架构变化带来的影响,要思考如何提前应对这些技术变化带来的安全影响。
举个例子,2020年SolarWinds事件,从研发人员到供应链,如果我们遇到应该如何处理?
网络安全只做常规的事情是不够的,我们应该做一些超越常规的事情,敢于挑战。
3、规划的方法论和框架
编写规划的过程中,通常可以按照以下步骤进行展开:
(1))识别客户和对手(威胁);
(2))了解客户的需求;
(3))定目标、价值、定位;
(4))分析现状、差距、原因;
(5))风险和需求评估;
(6))制定实施计划。
在每一个步骤中都有通用的分析框架可以参考。
借助成熟的框架开展系统化梳理,避免遗漏重要内容。
针对规划的不同环节,有不同的分析框架。
例如定目标时可以使用“网络安全滑动标尺模型”,做风险评估时可以参考ISO27001、NISTRMF,在做攻防对抗能力建设时可以参考ATT&
CK,做纵深防御可以参考PPDR。
框架繁多,要清晰的认识到,所有的模型、框架都是我们用来完
整呈现自己思路的工具,能够逻辑自洽即可。
4、现状和差距分析
这就绕不开信息安全驱动力的问题了。
通常情况下,信息安全的驱动力来自于四方面:
▪合规驱动
▪事件驱动
▪业务驱动
▪自我驱动
在做现状分析时,大家往往是基于合规和事件的视角,对业务视角分析不多。
例如,某份规划中,从讲述中得知分行似乎有自己独立开发的业务,但材料中对分行业务发展的理解没有展示,那么安全对业务支撑有哪些?
需要将这些支撑点予以展开,把工作做实做细。
对于分支机构,在合规工作上,要将必做的事情和总部予以区分。
在做差距分析时,很多时候问题的落脚点是人员不足。
某大型制造业公司,整个安全团队只有6个人,安全团队人数不但没有随着业务增长,反而在缩减。
要去分析一下为什么是这个现状,和公司管理层要有沟通,确定是否是领导层没有认知到问题的严重性。
5、实施路径
通过比对发现了差距,识别出一系列信息安全任务,接下就需要设定可行的实施路径。
对于路径,可以按年为周期,在内部细分出半年度、季度、月度等。
也可以年为单位,进行滚动更新。
这其中要注意,规划的任务项中要添加top级的工作任务,然后配置相应的资源来集中解决,例如成立攻击战队。
同时,这个滚动表需要向上抽象出一些任务,便于内部汇报。
二、常见问题
1、高度与深度
从本次的诊断会内容来看,对技术或趋势的发展,对IT架构变化带来的影响,还缺乏前瞻性。
在规划编制中,要思考如何提前应对这些技术变化带来的安全影响,否则安全工作将会持续处于被动状态。
在具体规划内容中,汇报人给出了部分网络拓扑、安全防护方案,这里举两个存在问题的例子:
▪某单位给出了网络拓扑。
首先测试业务出口太重载,可能无法落地;
其次边界实现不太清楚,例如公有云接入后你是否会参与管理?
如果核心的一些数据上传到云上,那么架构应该如何做?
▪某单位的分模块规划中有多项问题。
比如有一项工作重点是抗DDoS。
提到了购买抗D设备,但其实这个效果是递减的,花大力气在抗D上可能不太值得;
再比如,在工控上的举措投入产出比可能也不是很理想,防火墙之类起到的作用有限,对主机可能有用,但是服务器不一定,需要一些其它安全防护策略;
2、规划内容过于技术化
多位汇报人的材料,一上来就谈到各个具体的模块,进入技术点的陈述。
没有事先建立一副全局视图,从多个维度介绍规划的总体目标,尤其是缺乏业务需求的驱动点。
3、心态问题
在讲述过程中情绪较为负面。
负面情绪可能来自于多个方面,比如:
▪对资源不足的无奈。
如公司薪酬不具备竞争力,无法吸引到优秀人才,或者无法留住优秀人才。
▪认为领导不够重视。
如公司在流程制度建设方面不重视,导致某些工作推进困难。
在汇报过程中一定要采取正面的情绪,否则只能得到更糟糕的结果。
4、逻辑性问题
逻辑是汇报的“纲”。
纲不举,目不张。
如果汇报材料逻辑混乱,很可能遭受领导挑战。
例如某份规划在开篇部分提到了2020年成果,其中重点提到了抗疫工作。
但是后文中,抗疫和业务贴合得并不紧,这中间逻辑不连贯。
5、集团内部规划对齐
对于集团公司的子公司,报告中缺乏顶层规划,你的安全团队、子公司的安全团队、总部安全团队的整个分工没有交代清楚。
6、规划的内容过于理想化
对于某些目标的设定,因为缺乏经验,可能导致难以达成。
举个例子:
某公司设定的度量指标中,微软补丁更新率为100%。
要知道,即便微软公司自己,补丁更新率也只有90%。
更新率100%不是不能
达到,要看情况,服务器和应用少可以。
有些例如工控补丁是打不上的,这类又应该如何处理,可能需要用别的策略规避。
7、规划内容太虚
画了一个大饼,看起来目标很远大,但是怎么达成呢?
语焉不详。
对于领导、听众来说,具体的安全工作与他们本身工作之间找不到锚点。
例如:
▪某单位计划安全团队在2023年要达到B、B-,即二线安全公司的攻防能力水平。
但是如何实现,需要多少资源投入,如何度量能力水平等,却没有进行细化。
与此同时,前面汇报的内容给人感觉就是,以现有的人力、公司政策,很难实现。
8、忽略团队内部诉求
规划是讲给“上面”的,也是写给“下面”的。
在做好向上管理、业务诉求管理的同时,更不要忽略了团队成员的“需求”,毕竟,团队的每一个人与你,才是最终的执行者。
规划的内容明显超出了团队的承受能力,在执行过程中势必会怨声
载道。
规划的内容明显低于团队承受能力,会让团队得不到充分锻炼,也可能让成员觉得负责人不思进取,或者业务不精、视野狭隘。
三、优秀案例
四、补充建议
1、做安全就是讲故事,安全规划/计划就是讲故事的主线,安全团队就是故事的主人公,安全团队日常工作的预防风险、解决问题等等就是故事的情节。
讲故事讲的好要吸引领导,安全规划作为主线要清晰明了,安全团队作为主人公要个性鲜活有血有肉,日常安全工作作为故事情节要节跌宕起伏、可圈可点。
所以,安全规划怎么能做好?
这个问题实际就是:
怎样讲好一个安全团队成长的故事?
今天各位嘉宾的规划里都有主线,虽然有的不够清晰;
也都有主人公,但多数缺少配角和情节。
要有目标,有优先级,有步骤,有顺序。
规划主线可以高高飘在天上(务虚可以高大上),但主角和配角要说清(安全和其他团队怎么分工协作),情节要落地(项目目标和过程优先级要靠谱可操作)。
规划保守一些,故事的前中后3-4-3阵型,虚虚实实,多数领导都百搭。
规划想激进一些用
5-4-1阵型,虚的多点,后盘不稳,可能领导听的嗨但执行难落地。
规划从来不是务虚,是实打实的,之所以虚,是情节不够细腻不够煽情(后续需要落地的项目讲的不够透,不够让领导明白)。
故事不光要有逻辑,还是要适合听众。
大多数高层在自己不懂的领域,是靠严谨的逻辑判断来做决策,这个情况多适用于大公司。
对于中小公司来说,领导本身的嗅觉也不一定强,有时也不一定有很强的逻辑判断能力,也会因为信任,用人不疑,尊重专业等等因素,来做决策。
所以,有的安全团队故事讲得不漂亮,领导出于对负责人的信任,不疑和尊重,也会给资源。
2、做规划还是要层层分解,安全规划是企业战略规划的更下层分解。
给更上层领导汇报规划,就是要让TA了解,你正确理解了他所面
临的问题,你的工作内容能帮到TA实现TA的目标,并且要用TA能听得懂的话来讲。
更高层的领导不是什么都懂,那么他们凭什么来把控全局?
大多数是靠逻辑,当汇报内容逻辑性经不起挑战的时候,汇报就是失败的。
比如分行领导,他关心的首先是分行的业务怎么做好,IT是支撑业务的,安全也是业务的保障,“业务”是他最关心的事情,安全工作如果和业务发展建立强关联,就容易得到支持。
如果规划得不到上级批准,分配不到资源,得不到支持,安全团队
在组织内部会寸步难行。
但是规划不能搞的太美好,否则交付不了,安全团队的信誉就会被消耗,今后的规划就更难以获得批准。
3、一场暴雨很难解决问题,认知很难一次对齐。
一次规划汇报解决不了问题,要有润物细无声的渗透能力。
能落地的规划才能算是好的规划。
另外,我们不能根据现有的人力资源去做规划,不能说有多少人办
多少事,这点很认同。
只是往往规划喊出去了,人没招到。
在人才招聘这一方面有什么好办法吗?
问题如何解决:
给合适的待遇,或合适的事业平台,或合适的团队(待遇留人,事业留人,感情留人);
校招培养;
外包补充;
从研发运维挖人;
群内群友互帮互助,互通消息,为优秀的人背书,给优秀的人更多机会;
跟HR争取,降低招聘门槛。