深謀遠慮的資安首長

值得觀察的微妙變化
Gary Swindon的職稱與其他企業存有些微的差異，他的職銜為企業資訊安全長，與一般企業中對資訊安全長的定義不太一樣。（一般CISO的C是指chief，而Gary Swindon的職銜中的C則是指corporate）。「身為奧蘭多區域醫療中心的CISO，我的工作範圍涵括安全策略、風險評估、風險管理與稽核—全都偏向策略性的工作，」Swindon說道，他直接向該組織規範暨內部稽核協理報告，而不是向CIO負責。「如果你是向CIO報告，那麼這項工作的味道會比較偏向技術安全，而非商業面思考的產出。」看看現在對CISO的定義，你會發現他與過去對CISO的定位不儘相同。安全工作已由日常作業，轉為策略性的工作，這些轉變呼應Information Security在2006年對資訊主管所做的調查。安全組織過去是靠法規來驅策，現在則將責任分開，並更重視人員與程序上的議題。「總而言之，安全現在都與風險管理的工作有關，」ConlAgra Foods的資訊安全主管Ron Woerner說。「你不可能在作業層級上做好風險管理的工作。你必須站在策略面，才能權衡當企業面臨風險與漏洞時，何者帶來的威脅比較嚴重。這使得資訊安全的知識與經驗需求，已由技術轉向經營。」
調查中，訪問的405位資訊安全專家（包括IT人員、中階與資深主管）， 45%以上的人表示，在下一年度，他們的工作重點將著重於技術能力；61%的人表示，他們的組織在風險管理上將會著墨更深。為了達成這個目標，許多人會尋求其他領域的人員一同參與，討論各個商業流程中所面臨的風險，以及風險是否能夠承擔、轉移、避開，或是消去。「工程師無法辦到，但對一個授予適當權限的主管來說，卻可以擬定出合於公司營運的商業政策，」Woerner說。諷刺的是，政策的轉變建立在對專業技術的自信，卻有4%的受訪者不確定他們的能力是否足以鞏固企業網路，不受外部的攻擊或惡意軟體的襲擊。「就我目前擔任的企業資訊安全長而言，不需要具備任何技術作為基礎」Swindon說。「只要觸及資訊保護，或者有益於資訊保護的工作，都在我的職責之內，其中包含資訊系統的安全。所以同事們對於進行中的專案都會找我參與討論或審視，以便新的系統在企業運作前確認已經安全無虞。以公司的立場來看，這種作法反而較省錢。」
目前讓安全主管花費最多心思與預算的地方就在風險評估，以及合於識別管理系統所需求的創新技術，讓員工與企業夥伴能夠安全地進行遠端存取，並遵守國家的法規。有64%的受訪者希望能增加安全預算，而34%的人計畫希望能增加10%以上的預算。

跟作業層次說再見
安全主管將注意力聚焦於風險管理上，他們正將工作下放到其他的領域中。應用程式與系統管理員等作業團隊，仍持續負責大多數的安全黑手工作，如防火牆、IDS管理及安全的伺服器組態等。「我們負責指導網路團隊，並審核他們在安全上的作為，」賓州大學醫學中心資訊安全主管John Kramer說。「徹底了解小範圍的需求比決議企業整體的決策更為重要，如此才能避免使用者被粗糙的決策影響，而無法從企業小範圍的需求角度來著眼。」
受訪的安全主管對於企業目標的了解上都表現出十足的自信。Kramer正說服商務主管擔任安全聯絡官的責任，以便擔任安全辦公室與商務單位間溝通的橋樑。「唯有平衡使用者與其企業業務需求時，才算擁有最基本的安全。」Kramer說「就我們對安全的概念來說是集中式的，可能無法完全地了解不同單位的特殊需求。我們的任務在提供較高層次的方向，然後再由他們詮釋成自己部門的解決方案，如此才能同時囊括企業的大方向與各部門的需求。」
將風險整合進安全作業中，也是符合法規要求的一部分。對於大多數公開發行的公司而言，符合SOX、HIPAA、GLBA等特定產業的規範已經是例行的常態工作。只有當這些常態事項融入每日例行的作業中，並一一降低規範帶來的挑戰而增加企業對資訊安全管理的信心。如ConAgra Foods，就建立了自家的風險評估方法，稱為「系統安全計畫」（System Security Plan），這個方法的基礎是NIST Special Publication SP-800-30以及微軟的「安全風險管理手冊」（Microsoft Security Rish Management Guide）。所有的新系統或應用程式在定型前，都必須通過這項計畫的測試。Woerner說這項計畫有三點主要元素，分別是新系統的描述，與系統相關的風險，以及辨別系統是否合於政策的10點清單。
儘管72%的受訪者表示，會在2006年時增加更多的時間和預算在與規範有關的活動上，但ConAgra的Woerner表示，他們初期的推廣已經結束了。「當規範成為生活之一，遵守規範的成本就會降低，」Woerner說，「現在我們已有了程序與流程，因此相關的花費就會變得更少。大多數的花費都是用在外部稽核師，以及確認是否確實遵循企業規範上。」


第一順位是…
基礎架構的複雜在許多地方都引起受訪者的矚目，尤其在身份識別、存取管理、漏洞管理，及報告機制上。系統分散得越來越廣，終端電腦也大量地增加，使得安全主管喊著要目錄服務自動化及密碼、服務供給管理等技術。在產業制訂可供遵循的標準前，主管們只能默默地採用價格不菲的識別管理系統。「如同大多數的組織，我們不想跳進某個廠商特定的解決方案，導致將來無法採用相容性較高的系統，」American Criminal Investigators Network的安全長Jon Stanford說。 同時，像雙因素認證（two-factor authentication）或企業單一登錄（single sign-on）等技術，對大多數組織來說僅停留觀察階段。有四分之一的受訪者表示，他們在2006年時會在這兩項技術上投入更多的經費，但就像Stanford一樣，有些人還是對置換系統可能隱藏的成本持著保留的態度。雖然大多數組織已有成熟的程式更新程序，如微軟與Oracle的自動化設備與定期發布的修正程式，使得漏洞管理一直維持在最優先的作業事項。花費在網路漏洞掃瞄器及修正程式的管理設備預期將會增加。安全主管還希望漏洞、更新程式與組態管理等工具能夠整合在單一的主控程式中。預計其中的花費將會增加。「由於系統到處都有漏洞，使得系統更新變得無比重要，卻又要求耗費最短的停機時間內完成，因此成為一大挑戰，」Stanford說。「漏洞管理的專業資訊很貧乏，所以不容易雇用到一位訓練充足，且能夠評估系統是否有效被控制的專業人才。」
然而，威脅之間的關連性分析仍舊是一項挑戰。許多組織嘗試將威脅與漏洞資料格式化，並找出其相關性，以便排列出風險的優先順序與補救方式。這些程序大多數仍依賴人工，但卻能讓資訊主管過得更心安。「當我們收到漏洞警告時，我會先由Full Disclosure之類的新聞信件中取得資訊。如果這可能在我們的組織發生，我就會要求進行研究，」全國連鎖娛樂用品店的安全管理員，Justin Francis說道。「我們的確有個程序，只不過是手動作業。」
讓我們再回到風險的層面，受訪者也表示希望能有更好的自動化報表機制，在安撫管理階層外，還能夠使稽核人員放心。這項功能大多得靠自行研發的報表軟體，產出試算表或PDF檔，或是透過Crystal Reports輸出報表。「讓管理階層獲得警報通知也是我們工作的重點之一，」Kramer說。「有時候，為了達成一件共識，得用上各式各樣的溝通管道。你無法得知你的聽眾是根據觸覺、視覺，還是聽覺做反應，因此你所能做的就是不斷地去嘗試。」 MICHAEL S. MIMOSO是Information Security的資深編輯。有任何意見來信請寄iseditor@asmag.com