劣质信息安全的商业伙伴。有可疑风险控制的云计算供应商。首席信息官应该做什么?我们的年度全球信息安全调查跟踪趋势。
根据我们第八届全球信息安全调查,您面临的威胁和挑战在过去一年中没有发生过多的变化,但您正在寻找保护企业数据和网络的更好的配方。
“今年的数字确实令人感到紧张;普华永道(PricewaterhouseCoopers)咨询服务部门负责人马克•洛贝尔(Mark Lobel)表示。该部门代表其姊妹刊物《CIO》和《CSO》杂志进行了这项研究。
在全球接受调查的12847名业务和技术高管中,67%的人将帮助您的组织最小化风险的安全程序作为优先事项。但是您意识到必须在技术上进行更有针对性的支出,并引入外部安全专家来管理您的IT人员无法做到的事情。原因如下:
您希望拥抱云计算,因为它使您的IT操作瘦,更便宜。但是在过去的一年里,你对云安全的理解并没有多大进步.你必须小心。
你的客户想要在网上花钱,然后使用更花哨的应用程序来完成这一过程移动设备,太。因此,您必须防范攻击者可能利用的漏洞,以窃取您客户的私人数据和其他核心资产。更重要的是,政府和行业法规往往需要这样的保护。与此同时,日益复杂的业务关系正迫使你让外部人士更多地访问你的内部系统。您需要防止业务合作伙伴对您网络的攻击。
两年前的金融危机可能使你们的一些安全措施停滞不前,但56%的人表示,风险的增加提高了安全工作在你们公司的作用和重要性。你已经开始的事是无法回头的。
云中的谨慎
62%的人对自己在云端的资产安全没有信心。即使在49%的受访者中,也有超过三分之一(39%)的人对云计算的安全性深感不安。
问他们认为最伟大的是什么云计算策略的风险,受访者表示他们不确定他们在提供商网站执行安全策略的能力,并关注培训不足和审计。
洛杉矶县雇员退休协会(Lacera)的CIO James Pu就是持怀疑态度的人之一。他说,他喜欢云计算所能提供的灵活性和敏捷性,但他担心其固有的可用性和安全风险。
作为Lacera公司的信息安全官员,Pu说:“虽然它现在很好,但你没有局域网那么可靠。”“我还担心涉及的第三方。”他指出,云供应商使用第三方来托管数据中心和硬件。雷竞技电脑网站而且,这些雇主可能会在没有进行必要背景筛选的情况下聘用员工。他说:“当数据进入云端时,只要有一个软件漏洞,我的数据就会意外泄露。”
另一方面,美国网球协会(USTA)的CIO拉里•邦凡特雷竞技比分(Larry Bonfante)是正在谨慎地转向云计算的IT领袖之一。从安全的角度来看,他最关心的是保护消费者数据- 鉴于该薪酬,例如,大约80%的美国公开赛票价在线购买。他还没有准备让这些交易发生在云中,但由于他不相信所有技术碎片就可以安全地做到了。但他对他的后端财务和报告系统感到不同。
他已经将所有内部后端系统转移到Amazon Web Services平台,相信Amazon的安全资源将补充他自己组织的安全资源。Bonfante说,这样做的好处包括降低成本,让他的IT员工照看的服务器更少,这使他能够更快地部署新解决方案。他说,云计算还减少了美国电信协会的碳足迹:更少的现场硬件意味着更少的能源用于为IT商店供电。
波士顿地区一家大型共同基金公司的首席财务官肯•普菲尔(Ken Pfeil)说,在云计算成为一种普遍接受的安全选择之前,有几件事必须要做。普菲尔曾是金融公司Capital IQ和miradil的首席财务官。(Pfeil是自己说的,他要求不要透露他现在的公司的名字)。
他说,首先,安全专家必须提出更多的方案具体指导方针在云中存储哪种数据是可接受的,以其客户信息或知识产权。他还希望从证券交易委员会等监管机构澄清,以及财务报告控制应该如何在云中工作。
他不满意这些问题已经得到了回答,特别是当涉及到可以进入云计算的金融数据时。因此,他的公司目前正在避免这种情况。
密切关注业务伙伴
您仍然可以选择是否信任云供应商来管理您的数据。你与商业伙伴的关系则更为复杂。
调查受访者的人员比去年有些更关注,因为他们自己的安全受到威胁,因为商业伙伴和供应商的安全被衰退摇动。超过四分之三(77%)的受访者同意,他们的合作伙伴和供应商因经济衰退而削弱,每年的67%。
洛贝尔说:“公司越来越依赖第三方,不管他们喜欢与否,这些合作伙伴需要访问你的it基础设施和你的数据。”“在光景好的时候,这很艰难,在光景不好的时候,这很可怕。”面对自己的业务问题,第三方也需要像你们一样削减成本,他们可能会在这个过程中削减安全控制,他说。
Josh Jewett,高级副总裁兼首席信息官家庭美元说,该公司已采取措施确保业务合作伙伴不会影响其安全性。“我们举行第三方不仅负责合同,而且还在运作,”他说。“他们必须证明他们符合我们内部的相同安全标准。”
家庭美元的合作伙伴也受到公司或独立审计员的定期审查。如果他们的做法危及公司的数据或业务连续性,则拥有终止这种关系的合同权利。
同样,Lacera的Pu也是一名认证的IT审计员,他借用了罗纳德•里根(Ronald Reagan)总统执行与前苏联签订的核武器条约时使用的策略:信任但要核实。“第三方经常被要求把他们的安全程序写在纸上,但从来没有后续的核实。我们会对他们进行检查。”“我们向供应商提出了很多问题,我们限制了他们可以访问的内容。当他们进来时,我们确保他们被护送。”更重要的是,商业伙伴不允许在未经批准的安全措施下将电脑连接到Lacera的网络,他们必须遵守明确的数据使用规则。
如果任何数据或应用程序与业务需求无关,则合作伙伴无法访问它。PU说,数据或申请必须直接绑定到诸如事件中的任何倡议 - 例如,双方正在合作。
Bonfante对向业务合作伙伴提供对其系统的影响非常相同。金融应用程序被锁定。合作伙伴也无法访问住房客户数据的网络部分。在这些条件下,他对共享网络的其他部分感到非常安全。
“总有一些问题,但我们与我们的合作伙伴合作以确保类似的事情加密和密码保护他说:“使用了,添加了在USTA及其合作伙伴之间流动的数据进行加密。这样,它是唯一可刻度的,因此对尝试访问它的流氓局外人无用。
Pfeil说,为了确保安全的商业伙伴关系,企业需要在商业领袖选择谁提供第三方服务之前让安全人员参与进来。安全专家会更仔细地观察潜在合作伙伴的安全控制,而不是那些识别和追踪这些合作伙伴的活动和营销人员。安全从业人员也更有可能坚持要求合作伙伴给对方详细介绍他们的安全操作。
像Jewett一样,Pfeil是一个用于切割干燥合同条款的Stickler。“安全必须是语言的。如何处理身份验证?如何在运动中处理数据并休息?哪一方负责哪个控件?您必须回答所有这些问题,”他说。
我们信任外包商
公司可能会使业务合作伙伴安全审议,但许多IT和商业领袖承认他们不能总是在内部保留这些信息 - 至少没有来自外部专家的帮助。
超过一半(52%)的调查受访者表示,外包商也称为托管安全服务提供商(MSSPS),对实现安全目标是重要的或非常重要。另外19%的人表示外包商发挥作用。与此同时,超过30%的销售外包一些或所有安全功能,例如电子邮件过滤和应用程序防火墙管理,这是未来12个月的首要任务,从一年前的18%。
虽然这些数字并不代表自去年以来的变化浪潮,但Lobel说,它们确实预示着风向的转变。
他说,外包的兴趣越大“是IT服务的削减结果”。例如,公司不再愿意支付内部的某人,以便在卖方可以少的时候在一夜之间监控安全运行。“在内部做坏事的成本比供应商收取你的费用便宜,但是做安全的成本真的很好地在内部的内部比供应商收取的费用更贵,”Lobel说。
公司意识到最好把安全交给那些对安全有经验的人,沃伦·阿克塞尔罗德(Warren Axelrod)说,他是前中央so,也是《外包信息安全》(Outsourcing Information security)一书的作者。“如果你需要手术,你宁愿去找一个每天做五次手术的外科医生,而不是一个月做一次。”
超过30%的受访者将外包作为一个重要的优先事项,这样他们就可以建立目前尚未到位的安全保障措施,包括电子邮件过滤和渗透测试等功能。与此同时,60%的人表示,他们已经将技术硬件的安全处理外包,59%的人表示,他们已经委托了密码重置管理。在战略和标准方面,32%的公司表示有外部人士帮助他们为外部合作伙伴、供应商和其他IT供应商建立安全基线。24%的公司将其集中的安全信息管理程序外包。
家庭美元的朱伊特表示,他的公司已经聘请了多种服务提供商来执行和审计其安全程序的部分内容。他拒绝详述哪些项目外包和为什么,但他说公司基地这样决定以下标准:自己的内部评估技能和资源,外包的相对成本和保持在房子,工作职责分离的必要性和风险评估。
在USTA没有专门的IT安全团队(该功能是其技术和运营总监的职责之一),Bonfante依靠msps来处理诸如Web监控和过滤、电子邮件扫描和存储监控等任务。他预计未来一年将外包更多的安全功能,不过他还没有准备好概述细节。
Pfeil表示,成功的信息安全外包取决于CIO了解供应商的专业知识。未能仔细审查供应商的特色是一个明显的,但很常见的错误。“公司必须仔细审查专业领域,并花点时间调查他们正在考虑的公司的赛道记录,”他说。不是每个MSSP处理每种类型的安全性需求。仅仅因为提供商有一个大名称并不意味着它对贵公司最适合,他注意到。
一旦雇用外包手,就建立了定义的服务级别协议(SLA),例如,MSSP需要能够找到和处理这些事件的博弈计划,这是一个定义的服务级别协议(SLA)。在任何SLA中需要一个提供的PFEIL是当MSSP必须通知公司可疑活动时的时间表。
“我们需要在这类事件发生后10分钟内得到通知,而这类事件需要4小时,”Pfeil说。他补充道,你还需要对未能在截止日期前完成任务的人处以有意义的惩罚。“如果我们看到你们不履行协议,我是不会付账的。”
前进的方式
我们的调查显示,尽管最近的经济条件,但公司在安全方面没有震惊。事实上,大多数人既不削减也不延期安全支出。展望未来,52%期望安全支出在明年至少增加10%;9%的计划计划增加30%以上的支出。