一个穿着沾满巧克力的衬衫的孩子说:“不是我干的。”电话铃响了,妈妈向你保证:“没什么好担心的。”一位带着一盒磁带的系统管理员说:“我们将在几分钟内备份所有内容。”有时候,你听到的第一句话——尽管远离真相——会告诉你你需要知道的一切。
信息安全也是如此。有些话乍一看让人安心,但我发现它们往往指向保护内部信息资产和技术资源,或保护它们的人员和流程的问题。以下是一些暗示安全问题可能即将爆发的口头语。
1.“我们有一种安全文化。”
不,你没有。
我最常听到这种话的企业是这样的:一开始只有五个人的夫妻店,后来发展成公司,然后眨眼发现自己的经营团队只有1000人,没有管理或政策。3美元和他们的“安全文化”会让你在一家安静的咖啡馆里喝上一杯精致的咖啡,在那里你可以思考有多少工作要做。
一个简单的事实是,如果没有支持的指令或反馈机制,每个人对安全性的定义都是不同的,也没有人对安全性进行验证。没有符合“文化”的度量标准,而且“安全文化”每次都被“完成工作”的文化所覆盖。
如果有规则,把它们写下来。如果有技术实施或监控规则,也要写下来。如果有人违反了规则,跟进。如果这些规则阻碍了合法业务的开展,那就改变它们。就是这么简单。
2.“IT安全就是这里的信息安全。”
信息安全与信息技术中的安全不是一回事。如果术语“信息安全”与“IT安全”互换使用,那就意味着没有人做出基本的非技术安全决策,而受影响的部门——IT、人力资源、法律、审计,也许还有组织中的其他人——都在猜测其他人的意思。
和上面部门有影响力的人聚在一起,决定信息(不是纸质文件或设备)是否像电脑和回形针一样是公司的资产。决定公司是否授权员工以个人身份工作、访问和获取信息。作为一个团队做出这些政策决定,并让那些有权威的人签字。这样,一天中可能就会有更多的时间来决定如何管理安全,而不是猜测什么。
3.“这并不适用于老板。”
尽管萨班斯-奥克斯利法案(Sarbanes-Oxley Act)使上市公司的问题有所缓解,但偶尔也会有高管直接拒绝执行他批准的安全或隐私指令。除非你已经准备好以法医的方式详细记录犯罪行为,然后将其提交给董事会或警方(或辞职),否则你只能绕过它。
这些“坏苹果”中的大多数都可以通过迎合他们的马基雅维利式的影响他人行为的意识来控制:他们至少应该表现出以身作则的样子,同时继续做他们关着门所做的任何事情。很少有人会承认这一点,但我遇到过许多it组织,它们只是为高管办公室的“客人”访问预算一条DSL线路,对插入的任何东西视而不见,并将支持时间记入测试实验室。这不是一个理想的解决方案,但如果这位高管仍然愿意签署《萨班斯-奥克斯利法案》(Sarbanes-Oxley)的证明,剩下的就只能靠貌似合理的否认了。
4.“我们的信息安全官就在IT部门。”
标题不重要。向IT主管报告的安全专家是安全管理员(专门系统管理员),即使此人拥有信息安全官员的头衔。
问题在于,官员这个词通常意味着有权核实和监督保护信息的所有技术和过程控制是否有效。IT安全管理员通常参与技术控制的设计,因此不能自我审计或证明IT正在做正确的事情,特别是如果他在IT内部进行报告。在军事背景之外,公司安全官员应该以同级或高级别的身份向IT主管报告。
5.“我们有密码政策。”
严格地说,指定密码长度和复杂度的文档是技术标准或过程,而不是策略。策略是业务指令的容器,例如“在授予对公司资产的访问权之前,必须对个人进行惟一标识和身份验证”。注意,这个策略示例关注的是如何处理人员和访问,而不是如何构造可输入类型的字符序列。
尽管某些软件供应商努力混淆这种语言,但诸如“组策略对象”之类的技术控制仍然存在没有政策.然而,我并不是一个固执的人,我会在没有啤酒的情况下钻研术语的争论。在业务时间讨论中,重要的是,密码标准(或“策略”)由真正的策略支持,因此IT将时间花在实现控制上,而不是试图在没有授权的情况下捍卫推理或要求遵从性。如果没有一个支持性的理由和指示,你可能会花很多时间重复同样的指示,但却无济于事。
6.“我们的经理有所有密码的副本。”
虽然这个想法让新入职的cissp们感到头晕,但确实有管理者要求他们的直接下属公开他们的个人密码。对这种咄咄逼人的愚蠢要求的解释总是“如果有人辞职或生病了怎么办?”我们怎么拿到他们的文件?”
我上次遇到这种有组织的腔棘鱼是在一个满是律师的小州机构里,他们应该更了解情况。然而,当我向违反者提出多用户权限将允许他访问的想法时,我还不如大喊“进化!”我发现的唯一有效的策略是说:“如果你那样做,那么你就是他们做坏事的嫌疑人。”你永远不可能解雇他们,因为你也会成为嫌疑人。”鼓励提前退休也值得一试。
7.“网络应用程序只有在我们……才能运行。”
可以使用IE安全地浏览Web,也可以在公共互联网上公开自制的客户端/服务器应用程序,但要找到一个只为单一客户端配置而设计的应用程序,通常意味着安全原则在匆忙的过程中是最后考虑的——如果有的话。通过全面的测试,大多数设计良好的Web应用程序都是跨平台的。
发现设计糟糕的Web应用程序是一个特别的问题,因为企业浏览器的Windows“安全区域”设置可能低于适当的水平,只是为了让内部应用程序工作。当这些用户打开MySpace的附加组件,浏览恶意软件充斥的网络邮件时,会发生什么呢?将这些应用程序视为遗留的东西,并与质量保证部门合作,在测试过程中包含基本的安全标准。
8.“X品牌是我们的标准。”
我并不反对任何戴尔(Dell . o:行情),但当硬件在一个大型的组织人说“我们的标准是戴尔”(或任何其他品牌),他们真正的意思是,“我们把技术标准窗外来换取购买折扣,现在我们购买任何供应商提供。”这就好比我的阿姨去商店买一些她不需要的东西,然后因为“这个打七折”而兴奋不已。
当然,需要说明的是,我的姑姑和现实世界中的IT人员都有其他决定要做,而个人电脑在这一点上基本上都是日用品。选择供应商的产品并在一段时间内继续订购是可以的,因为他们不太可能在一年的时间里用巧妙伪装的华夫饼烙饼代替公司的笔记本电脑。
然而,供应商并不是一个技术标准,如果没有人做足功课,就会产生麻烦。当供应商对软件或产品线进行更改时,特别是涉及思科系统(Cisco Systems Inc.)等网络和安全设备供应商时,重要的是要掌握功能需求,以确定其是否仍能按预期运行。当顾客不知道他们想要什么时,每一笔便宜货看起来都是他们所需要的。
9.“嘿,这是从哪儿来的?”
可以想象,那些高技术用户应该自己提供设备,自己养活自己。否则,这意味着一个组织的it和帮助台服务水平刚刚被消费者硬件供应商击败,他们的800个电话没有人接听。公司的安全政策还不如把卫生间的隔间塞在厕纸后面。它们可能会被阅读,但与工作无关,只是为了娱乐。
解决这个问题是一个根本性的问题。以基本治理的眼光重新开始,并建立“我们在这里有一些规则”。经过大量的努力和沟通,这至少会变成上述的“文化安全”问题。
10.“我们把防火墙规则发送到……”
大多数网络管理员对上面提到的密码泄露感到畏缩,但许多人会免费通过电子邮件发送防火墙规则的副本。更糟糕的是,他们让设备供应商或自由职业顾问配置防火墙,并保留规则的唯一副本。这些规则(如果有任何复杂性的话)提供了组织安全性的详细映射、关于内部网络和服务标识的重要信息,以及如何针对它们进行定位。
没有一个严肃的安全专业人士会在没有明确要求保留防火墙规则的情况下带走一份别人的防火墙规则。合格的认证信息系统审核员或其他审核员将审查管理员系统上的防火墙规则,而不是他自己的系统。如果你看到你的企业防火墙规则被粘贴到审计报告中,特别是公共的,准备一个重新ip项目…打电话给你的律师。
Jon Espenschied在安全行业已经从业多年,他现在变得热情,blasé,愤世嫉俗,厌倦,满足,又充满热情。他为一个难民援助组织管理信息治理改革,他的建议仍然被首席执行官、审计员和系统管理员所忽视。
这篇文章《10个声称惊吓安全的专家》最初是由《计算机世界》 .