DoSECU安全报道 6月26日消息:为你的企业制定安全指标是一项艰巨的任务。然而,IT专业人员表示,在有效的安全和严重的漏洞之间制定安全指标将是截然不同的两个工作。
当Bruce Jones在Eastman Kodak公司担任全球IT安全风险和法规遵从管理人员的时候,他发现摆在他面前的是一个颇具挑战性的问题:怎么制定一套坚固的安全指标,用来与公司的其他部门进行风险沟通。
大约两年半的时间过去了,Jones制定出了一个风险管理规划,并且确实可行。
对于企业来说,制定合适的指标是维持整个企业安全的关键一部分。指标可为企业提供一个可有效地判断风险的标杆。但是,安全专业人员表示,确定那些指标并把它们与风险管理计划相结合确实堪称一项艰巨的任务。企业应该从为指标制定清晰的目标开始,保证收集的这一过程是可重复和可管理的。
"人们往往会有点儿心理抵触,因为这种事情太过艰难以致于什么事情也不能做,他们最终就会不愿意做很多事情或者干脆什么也不做。"Securosis一分析师Rich Mogull表示:"不要只看互联网安全中心的指标,试着立刻着手做所有的事情。放下心里负担去做好了,选取高优先的领域,确保你了解这个领域,使用你所有的工具去实施,然后再进入下一个领域。"
在柯达,Jones从研究其他公司怎么做开始,但是发现许多方法都太过学术了,需要大量的工作来管理或不适合与业务部门进行沟通。在多层控制台方面他停止了工作,该控制台范围的指标的基础可能会出现问题,并且别的地方出现故障之后还可能会出现潜在的影响。这些指标包括访问管理、入侵检测,以及恶意软件。
第一级,也是最高的一级,预留那些影响非常严重的和立即补救的问题。
"一旦我们将那些基金落实了,那么开始在仪表盘上用基于层的方法工作。"他继续说:"我制定的目标是尝试并研发一个不会耗费太多人力的仪表盘,为人们提供衡量标准。这些标准应该是现成的,或适用于数据库并很好兼容的。"
例 如,该公司借助迈克菲的ePolicy Orchestrator来针对那些被发现了大量病毒的数据,以及多少台机器在DAT文件方面不是最新的。在配置和改变管理风险措施方面,该公司使用了一 些工具来收集服务器法规遵从方面的数据并拉动数据库中生成的其他数据来收集关于工作站配置的信息。
Jones表示,每月这些数据和其他数据被收集一次,并反馈到仪表盘。这一过程主要靠手动。
"我们实际上还没有将许多的这些f反馈自动化。"他表示,他倾向于让这一过程尽量少一些手动。"我们愿意在任何时间使用仪表盘并看到真实的情况,对于风险处于什么状态进行point-in-time的管理,而不是被迫等待直到月底收集好数据才开始行动。"
Jones给别人的建议:
最开始制定易于收集并且不会耗费太多时间的指标,看看是否需要用数据作为基础,以便数据可轻易地与业务部门进行沟通。
"需要收集艰难的衡量标准,而且收集所花费的时间越长,随着时间的推移成功的可能性就越小,因为随着时间的推移人们会对这一过程越来越感到失望。"他说:"我强烈建议人们使用"统计过程控制模型",因为它给你设置了一个基准,并且可以帮助你让支出变得合理。"