首先,在预测运营弹性面临的威胁时,人员和关系是信息共享的关键。组织中的其他团队永远比我更了解他们自己的领域。
他们也知道会产生哪些业务影响。遵循 “乐观路径测试 (happy path)” 的思维方式非常有助于团队退后一步,思考哪些毁灭性场景会破坏其计划,导致整个团队无法运转。
我们建立了标准设计模式和团队规范来应对这些毁灭性场景。设计模式可以采用标准化技术架构、需求或运营流程的形式。团队规范通常采用交叉培训、角色确立、沟通模式和上报的形式。
2020 年 3 月,我们的主动式方法取得了最重大的一项成效,当时公司被迫在很短的时间内无限期全面开展远程办公。2019 年,通过与整个组织内的其他团队开展对话,我们意识到我们的 IT 基础设施存在四大问题,这将严重限制我们的弹性。
为了应对长期中断的风险以及满足对更卓越远程办公体验的需求,我们决定将所有内部 IT 基础设施迁移至基于云的服务。当全行业都开始转向全职远程办公时,我们得以从容应对,而不是措手不及。
我在医疗行业拥有多年经验,见证了安全弹性如何为组织赋能。尤其是,我的团队需要处理一种高度复杂的恶意软件,该恶意软件针对某品牌的一款广泛使用的重症监护病房 (ICU) 解决方案。
ICU 医疗设备 (ICUMD) 用于密切监测、稳定和治疗 ICU 患者,这些患者通常处于昏迷状态,几乎完全依赖这些设备生存,恶意软件影响了注射泵(用于按量给药)以及生死攸关的泵监测功能。
在评估这些设备时,我们发现了当前的安全缺陷和未来的威胁。我们清楚认识到需要采用一种与其他 IT 相关设备截然不同的方法来处理软件更新、修补和访问等关键领域。我们实施了一个高度精细化的流程,全面涵盖安全弹性策略的识别、检测和响应阶段。
在此过程中,我们从隔离的测试环境中识别出了恶意软件。结果表明,该恶意软件是由于供应商发布的补丁受到感染而引入的。当时还没有终端保护软件能够检测出这种恶意软件,而如果我们遵循传统的安全流程,就会将数百名患者的生命置于危险之中。从来没有人想到有人会设计出如此恶意的软件,最终可能会给人带来生命损失。
对于许多在第一线工作的安全专业人员来说,安全弹性是指组织适应已知和未知威胁的能力。在发生危机时,不间断的业务转型是建立企业弹性的关键战略。
购置解决方案只是人员、流程和技术三部曲的一部分。让员工支持解决方案也同样重要。许多组织经常无法留住其网络安全人员。原因在于,这些组织并未掌握最新的薪资数据,无法理解网络安全人员在其领域及市场上的价值的指数级增长。网络安全、财务与人力资源之间需要建立更密切的关系,保障安全计划的制定和顺利推进。
之前,实施一个灵活的模块化 GRC 是最具影响力的解决方案。然而,这种方式之所以能够引起多个部门的兴趣,是因为其跨职能运行能力,涵盖供应商管理、供应商风险管理、策略管理和 IT 风险管理。这将建立一个集中式风险管理解决方案,同时提供一个企业策略存储库。
除了提供供应商管理解决方案之外,这样还提供了一个供应商风险管理解决方案,可对关键供应商进行风险等级排名。然后可以确定每一个供应商的风险概况以及整体第三方风险概况。通过评估每一个用例中包含的手动流程,可以轻松证明此类解决方案的成本效益是合理的。
GRC 解决方案从一个模块开始,随着时间的推移扩展至四个模块,而其他部门希望访问该解决方案以集中管理其文档,或将该解决方案应用于其核心流程。
几年前,我曾参与一家零售公司的安全工作,该公司的第三方供应链存在巨大风险。最近,供应链攻击是一种很常见的攻击方法。但这并不是一种新现象。在该公司发生重大数据泄露事件之后,我应要求为该公司提供安全协助。泄露并不是由于该公司防御不到位,而是因为有一家主要供应商存在缺陷。
我主导开展了第三方供应商审查,评估了一些重要领域,比如该公司有哪些关键供应商(该公司有大约 200 家供应商)。然后,我们需要核实该公司曾与哪些供应商交换个人数据和机密数据。再根据信息分类对所有供应商进行分层。
接下来,我们审核了所有一级供应商。我们为客户提供帮助的方法是,让他们更加真实地了解哪些供应商存在风险。最后,该公司显著改善了选择供应商的方式。选择标准不仅要考虑商品质量,而且还要考虑安全原则。
除了识别出存在问题的环节之外,弹性的另一个重要方面体现在速度上。反映速度的指标包括平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
威胁始终存在,安全事件也在所难免。降低发生安全事件的可能性并将影响降至最低,这就实现了弹性。
在英国的网络威胁情报 (CTI) 行业工作总是需要更高的警戒级别。所幸的是,我们设计了一种独特的基础设施架构,可减少易受攻击的服务的受攻击面和风险。
这种对 “最佳实践” 架构的不懈追求也实现了较高水平的弹性。这一切都得益于我们拥有经验丰富的开发人员,他们以创建安全代码为荣,并确保在严格遵守 ISO 27001 标准的情况下正确完成部署。
作为一家近乎虚拟的公司,我们的数据和电子邮件都包含在软件即服务 (SaaS) 云中,并由这些顶级提供商提供超高水平的可访问性和数据保护。身处 CTI 行业,公司的每一个人都敏锐地意识到各种组织面临的威胁,包括我们自己面临的威胁。
另外还有一位首席合规官为我们保驾护航,而且公司全体人员都致力于识别物理世界和虚拟世界中的威胁行为者。这为我们营造了强大的安全文化并建立了有效的弹性。
“这一切都得益于我们拥有经验丰富的 开发人员,他们以创建安全代码为荣, 并确保在严格遵守 ISO 27001 标准的 情况下正确完成部署。”
关于建立弹性,我在思科担任第一任首席隐私官时有一个成功案例。在起草合同时,我们要衡量客户在购买协作或其他隐私敏感性产品时有哪些不信任和困惑模式。我们和客户长时间谈判协商各种基本问题,例如 “数据存储在哪里?” 和 “谁来管理我们员工和客户的相关登录数据?”
有一次,我在伦敦交通博物馆观看展览,突然就茅塞顿开,那简洁的伦敦地铁线路图不就是一个完美的解决方案吗?我们是不是可以在一个简单易懂的信息图中向客户展示哪些数据存在问题、这些数据的具体位置以及问题的持续时长?
随后,我们制定了相关方案并在思科信任中心中发布,取得了立竿见影、可衡量且持久的成效。通过可视化展示系统性的复杂问题,相关各方便可协力制定计划、做出行动承诺并且共同构筑安全性。
目前,我在 PrivacyCode, Inc. 公司任职。我们提供了一个平台,利益相关方可以利用此平台将复杂的法律和政策合规流程转化为技术团队可以理解、可衡量且以行动为导向的任务。
在一个不断变化且日益复杂的世界中,清晰沟通和精细化的领导力有助于建立和增强弹性。我将继续一如既往地寻找简单易行的方案来应对重大挑战。
“在一个不断变化且日益复杂的世界中, 清晰沟通和精细化的领导力有助于建立 和增强弹性。”
