觀點

深謀遠慮的資安首長

2006 / 03 / 27
MICHAEL S. MIMOSO
深謀遠慮的資安首長

值得觀察的微妙變化
Gary Swindon的職稱與其他企業存有些微的差異,他的職銜為企業資訊安全長,與一般企業中對資訊安全長的定義不太一樣。(一般CISO的C是指chief,而Gary Swindon的職銜中的C則是指corporate)。「身為奧蘭多區域醫療中心的CISO,我的工作範圍涵括安全策略、風險評估、風險管理與稽核—全都偏向策略性的工作,」Swindon說道,他直接向該組織規範暨內部稽核協理報告,而不是向CIO負責。「如果你是向CIO報告,那麼這項工作的味道會比較偏向技術安全,而非商業面思考的產出。」看看現在對CISO的定義,你會發現他與過去對CISO的定位不儘相同。安全工作已由日常作業,轉為策略性的工作,這些轉變呼應Information Security在2006年對資訊主管所做的調查。安全組織過去是靠法規來驅策,現在則將責任分開,並更重視人員與程序上的議題。「總而言之,安全現在都與風險管理的工作有關,」ConlAgra Foods的資訊安全主管Ron Woerner說。「你不可能在作業層級上做好風險管理的工作。你必須站在策略面,才能權衡當企業面臨風險與漏洞時,何者帶來的威脅比較嚴重。這使得資訊安全的知識與經驗需求,已由技術轉向經營。」
調查中,訪問的405位資訊安全專家(包括IT人員、中階與資深主管), 45%以上的人表示,在下一年度,他們的工作重點將著重於技術能力;61%的人表示,他們的組織在風險管理上將會著墨更深。為了達成這個目標,許多人會尋求其他領域的人員一同參與,討論各個商業流程中所面臨的風險,以及風險是否能夠承擔、轉移、避開,或是消去。「工程師無法辦到,但對一個授予適當權限的主管來說,卻可以擬定出合於公司營運的商業政策,」Woerner說。諷刺的是,政策的轉變建立在對專業技術的自信,卻有4%的受訪者不確定他們的能力是否足以鞏固企業網路,不受外部的攻擊或惡意軟體的襲擊。「就我目前擔任的企業資訊安全長而言,不需要具備任何技術作為基礎」Swindon說。「只要觸及資訊保護,或者有益於資訊保護的工作,都在我的職責之內,其中包含資訊系統的安全。所以同事們對於進行中的專案都會找我參與討論或審視,以便新的系統在企業運作前確認已經安全無虞。以公司的立場來看,這種作法反而較省錢。」
目前讓安全主管花費最多心思與預算的地方就在風險評估,以及合於識別管理系統所需求的創新技術,讓員工與企業夥伴能夠安全地進行遠端存取,並遵守國家的法規。有64%的受訪者希望能增加安全預算,而34%的人計畫希望能增加10%以上的預算。

跟作業層次說再見
安全主管將注意力聚焦於風險管理上,他們正將工作下放到其他的領域中。應用程式與系統管理員等作業團隊,仍持續負責大多數的安全黑手工作,如防火牆、IDS管理及安全的伺服器組態等。「我們負責指導網路團隊,並審核他們在安全上的作為,」賓州大學醫學中心資訊安全主管John Kramer說。「徹底了解小範圍的需求比決議企業整體的決策更為重要,如此才能避免使用者被粗糙的決策影響,而無法從企業小範圍的需求角度來著眼。」
受訪的安全主管對於企業目標的了解上都表現出十足的自信。Kramer正說服商務主管擔任安全聯絡官的責任,以便擔任安全辦公室與商務單位間溝通的橋樑。「唯有平衡使用者與其企業業務需求時,才算擁有最基本的安全。」Kramer說「就我們對安全的概念來說是集中式的,可能無法完全地了解不同單位的特殊需求。我們的任務在提供較高層次的方向,然後再由他們詮釋成自己部門的解決方案,如此才能同時囊括企業的大方向與各部門的需求。」
將風險整合進安全作業中,也是符合法規要求的一部分。對於大多數公開發行的公司而言,符合SOX、HIPAA、GLBA等特定產業的規範已經是例行的常態工作。只有當這些常態事項融入每日例行的作業中,並一一降低規範帶來的挑戰而增加企業對資訊安全管理的信心。如ConAgra Foods,就建立了自家的風險評估方法,稱為「系統安全計畫」(System Security Plan),這個方法的基礎是NIST Special Publication SP-800-30以及微軟的「安全風險管理手冊」(Microsoft Security Rish Management Guide)。所有的新系統或應用程式在定型前,都必須通過這項計畫的測試。Woerner說這項計畫有三點主要元素,分別是新系統的描述,與系統相關的風險,以及辨別系統是否合於政策的10點清單。
儘管72%的受訪者表示,會在2006年時增加更多的時間和預算在與規範有關的活動上,但ConAgra的Woerner表示,他們初期的推廣已經結束了。「當規範成為生活之一,遵守規範的成本就會降低,」Woerner說,「現在我們已有了程序與流程,因此相關的花費就會變得更少。大多數的花費都是用在外部稽核師,以及確認是否確實遵循企業規範上。」


第一順位是…
基礎架構的複雜在許多地方都引起受訪者的矚目,尤其在身份識別、存取管理、漏洞管理,及報告機制上。系統分散得越來越廣,終端電腦也大量地增加,使得安全主管喊著要目錄服務自動化及密碼、服務供給管理等技術。在產業制訂可供遵循的標準前,主管們只能默默地採用價格不菲的識別管理系統。「如同大多數的組織,我們不想跳進某個廠商特定的解決方案,導致將來無法採用相容性較高的系統,」American Criminal Investigators Network的安全長Jon Stanford說。 同時,像雙因素認證(two-factor authentication)或企業單一登錄(single sign-on)等技術,對大多數組織來說僅停留觀察階段。有四分之一的受訪者表示,他們在2006年時會在這兩項技術上投入更多的經費,但就像Stanford一樣,有些人還是對置換系統可能隱藏的成本持著保留的態度。雖然大多數組織已有成熟的程式更新程序,如微軟與Oracle的自動化設備與定期發布的修正程式,使得漏洞管理一直維持在最優先的作業事項。花費在網路漏洞掃瞄器及修正程式的管理設備預期將會增加。安全主管還希望漏洞、更新程式與組態管理等工具能夠整合在單一的主控程式中。預計其中的花費將會增加。「由於系統到處都有漏洞,使得系統更新變得無比重要,卻又要求耗費最短的停機時間內完成,因此成為一大挑戰,」Stanford說。「漏洞管理的專業資訊很貧乏,所以不容易雇用到一位訓練充足,且能夠評估系統是否有效被控制的專業人才。」
然而,威脅之間的關連性分析仍舊是一項挑戰。許多組織嘗試將威脅與漏洞資料格式化,並找出其相關性,以便排列出風險的優先順序與補救方式。這些程序大多數仍依賴人工,但卻能讓資訊主管過得更心安。「當我們收到漏洞警告時,我會先由Full Disclosure之類的新聞信件中取得資訊。如果這可能在我們的組織發生,我就會要求進行研究,」全國連鎖娛樂用品店的安全管理員,Justin Francis說道。「我們的確有個程序,只不過是手動作業。」
讓我們再回到風險的層面,受訪者也表示希望能有更好的自動化報表機制,在安撫管理階層外,還能夠使稽核人員放心。這項功能大多得靠自行研發的報表軟體,產出試算表或PDF檔,或是透過Crystal Reports輸出報表。「讓管理階層獲得警報通知也是我們工作的重點之一,」Kramer說。「有時候,為了達成一件共識,得用上各式各樣的溝通管道。你無法得知你的聽眾是根據觸覺、視覺,還是聽覺做反應,因此你所能做的就是不斷地去嘗試。」 MICHAEL S. MIMOSO是Information Security的資深編輯。有任何意見來信請寄iseditor@asmag.com