安全是第一位的银行的劳动但是,不管在不断变化的威胁环境中发生了什么,这家金融机构每年只更新一次或者两次其正式的信息安全政策。
这并不是说,联合银行忽略出现的威胁,如新的恶意软件变种或钓鱼式攻击肖恩·米勒,银行的信息安全官员说。相反,组织,它在堪萨斯城,堪萨斯七家分公司,区域以及在华盛顿的办公室,定期调整其防火墙和入侵保护系统在应对新的和积极的威胁。为了避免疲于奔命的120个用户,但是,从更频繁,正式的新政策不闻不问。
米勒表示:“我们政策的目的是在一个高水平上,而不是覆盖所有可能发生的情况。”“我们更新日常战术程序,但涉及到我们未来安全的战略方向时,我们会有限地改变政策,以免用户不堪重负。”
劳动银行并不孤单。考虑到如何快速的威胁环境的变化,它可以是困难的公司修改一些刚性作为企业的安全模型,以跟上每一个新的攻击向量的步伐。在最近的由计算机世界,CIO和CSO进行美国为基础的IT和业务287专业人士的调查显示,受访者33%表示,他们对于那些已对信息安全管理同型号到位五年或五年以上的组织工作。同时,23%的人表示他们的模型已经在地方的三到五年,33%的人表示一到三年,仅仅11%的人说不到一年的时间。
不过,50%的受访者说,他们的组织正在考虑改变infosec管理模式。当被问及是什么因素促使他们的雇主考虑变革时,排名前三的回答是对入侵和数据丢失的担忧(144名受访者中有78%的人提到了这一点)、技术进步和升级(53%)以及法规遵从性(49%)。
CIO / Computerworld / CSO
多久采取信息安全政策的变化是一个难题。公司需要拿出一个办法来保持灵活性,以确保他们的政策和程序,反映当前威胁环境,但他们不能倒手这么多的新的规则和限制,他们往往会让用户不经意地迫使他们考虑绕过企业规则,解释了分析师凯利麦,福雷斯特研究公司。
Mak说,与此同时,企业必须在使用灭火策略来应对最新威胁和将信息安全政策作为整体战略之间取得平衡。他说:“这不像获取数据和制定新政策那么简单,因为你必须确保信息工作者不会感到不安。”“你设置的限制越多,就越有可能绕过它。”
填补日常差距
这正是米勒正试图避免的。劳动银行认为,地址的高层次的问题,包括银行的安全和广泛的共同原则,总体立场,如任务要求员工使用密码来访问数据的信息安全策略。该政策,落实到位后才董事会的批准,不进入该技术的杂草或拼出来的细节,例如口令准确的字符要求(这可能会随时间而改变,反正)。
为了补充广泛的政策,米勒的小组定期修改规则来解决当前的安全漏洞。最近,安全团队阻止了Flash软件的使用,因为它的漏洞被广泛报道,而且它很少再用于商业相关网站。“我们不认为这是政策上的改变,”米勒说。“我们的董事会批准政策,但他们不知道Flash是什么,或者它做什么。这只是一个简单的日常业务应对威胁的例子。”
为了让人们随时了解最新消息,米勒通过电子邮件通知大家这些变化,并解释这些变化的重要性。米勒说,他经常在简历中加入背景信息的链接。他解释说,确保人们明白为什么这些改变是必要的,并清楚其中的风险,这有助于防止用户感到沮丧,并确保员工愿意遵守即使是很小的政策变化。
测试,测试,测试
德文·米德,负责安全的高级系统经理法兰克福短Bruza他说,他倾向于保持安全政策的流动性,因为这家建筑工程规划公司规模相对较小(有150名用户),而且不受监管要求的直接影响。虽然FSB确实有一个正式的安全政策,由董事会批准,米德和他的团队经常建议新的程序,使用一个小的指导委员会六个用户征求反馈之前推出的更广泛的用户受众的变化。
CIO / Computerworld / CSO
“我们做的补丁或更改对我们的安全姿态的标准方法是测试他们的机器上,看看他们是如何工作的,并给他们推出来的人组有代表性,”他解释说。这指导委员会然后测试的变化来判断什么工作,什么也不会为FSB的用户。
例如,米德和他的团队建议提高加密技术。但在指导委员会的测试中,发现修改后的VPN接入太不稳定、太慢,所以Meade的团队重新开始着手。当团队试图强制实施URL白名单和黑名单以限制用户访问某些“对工作不安全”的网站时,情况也类似。米德说,这一举措并没有如预期的那样成功,因为当时所涉及的技术还不够成熟。
只有得到FSB指导委员会的批准,信息安全政策或程序变更才能在整个公司实施。米德说:“我的工作是通知(执行团队和业务赞助商)我们能做什么,以及如果我们做出改变,流程会是怎样的。”“因为我们是一家小公司,我们可以随着技术的变化而做出修改。”
Forrester的麦说,大多数组织都没有灵活的FSB和不更新安全策略往往不够,而且很多没有试驾的变化来衡量什么是有效的,而不是太麻烦了。“你不用找了很多做测试,以确定漏洞适量的组织,所以没有的效果是从人性化的一面环境什么的准确理解,”他说。
麦建议企业创建安全意识计划,不仅为员工提供方向,但还强调拥抱一个严重的安全文化的重要性。
CIO / Computerworld / CSO
在船上获取用户
这种做法将很快在美国实施仙女学校。如劳动力银行,学校将频繁次要更新其信息安全程序,以跟上新出现的威胁,但负责制定重大政策只有一年改变几次,以避免用户陷入约瑟夫·阿杜,在Southborough市质量技术总监说,,私立学校,供应等级Pre-K到9阿布,谁在船上来了一年前从营利性领域,是因为他开发了学校的IT政策,他在商业世界经验中。除此之外,他作出协调一致的努力,会让员工感觉投资安全。
Adu说,在本学年,该学院的150名员工和教员将参加面对面和数字化培训课程,这些课程每年都会重复一次,以涵盖重要的信息安全政策变化。此外,今年实施的一项新计划要求新员工在被录用后立即接受安全意识培训。Infosec培训也将最终纳入学校的新员工培训程序。这意味着新来者将立刻知道通过电子邮件集体分享个人信息是被禁止的,而且他们将了解学校是如何分类特定类型的数据,以及为什么,等等。
Adu说,在招聘时展示安全政策是向用户灌输企业文化的一种方式,让他们觉得自己对维护安全最佳实践负责。此外,人们在刚入职时通常更愿意接受指导,所以他们更有可能接受并遵守政策。(该校还为400名学生举办了短期培训课程,内容涉及安全基础知识,比如禁止共享密码的规定。)
“我们试图创造一种文化,人们知道他们可以在IT部门统计,让他们了解这是怎么回事的,”阿杜说。“但他们也需要了解这些数据的安全性是在这个[机构]工作的重要组成部分,他们有一定的作用。最难的部分是让人们认识到了很多的责任落在他们的最终用户。”
相关视频:
这个故事,“您的infosec模型应该有多灵活?《计算机世界》 。