如何建设一支理想的CISO团队

时间:2024-04-02 21:07:48

随着网络安全在企业信息化中的比重越来越大,在企业中从事安全工作的人的角色也在逐渐发生变化,从一开始由企业的IT运维人员兼管,到有专职的IT安全运维人员,其中一个重大的变化就是CISO(企业首席信息安全官)角色的出现,并且这个角色正逐渐从CIO的架构独立出来,而向CEO直接汇报,参与到企业的决策工作中。一个完美的CISO架构成为企业现代化的一个重要标志。我们在这里借鉴卡耐基梅隆大学的一个研究报告,抛砖引玉,试图构建一个理想中的企业CISO团队。

CISO四个关键职能方向:

  1. 保护,屏蔽,防御和预防(Protect,Shield,Defend & Prevent)
    确保企业的员工、政策、流程、实践和技术能受到主动保护、屏蔽,防御企业免受网络威胁,并防止网络安全事件发生或再次发生;

  2. 监控,发现和追踪(Monitor,Detect & Hunt)
    确保企业的员工、政策、流程、实践和技术的相关监控操作,主动寻找和发现安全漏洞和风险,并尽快报告可疑和未经授权的事件;

  3. 响应,恢复和维持(Rsponse,Recover & Sustain)
    发生网络安全事件时,尽量减少其影响范围和程度,并迅速恢复企业的员工、政策、流程、实践和技术的正常工作流程,以使资产尽快恢复正常运营,这里资产包括技术,信息,人员,设施和供应链等;驾驶人以及相关行业和管理部门提供电子证照服务。

  4. 治理,管理,遵守,教育和风险的管理(Govern,Manage,Comply,Education & Manage Risk)
    确保企业的领导层、员工、政策、流程、实践和技术等流程能够参与对所有网络安全活动的持续的监督、管理、绩效评估和修正,并确保该安全活动符合所有外部和内部要求,为企业降低相应的风险。

CISO组织结构
如何建设一支理想的CISO团队
根据CISO在企业中的职责,定义如下CISO组织结构,包括五大部门,下面详细描述各部门、子部门的职能和活动:

项目管理部门(PM,Program Mgmt.)

CISO组织的项目管理部门包括图中所示的三个子部门。

**项目管理办公室(PMO,Program Mgmt. Office):**完成制定并成功实施信息安全项目和基于该项目的计划的所有相关工作。这些工作包括以下内容:

  • 开发,实施和维护信息安全项目、计划和流程
  • 定义信息安全涉及的角色和职责范围
  • 分配合适合格的人力资源,以实施完成制定的信息安全项目和计划
  • 确定、管理和维护实施信息安全项目和计划所需的设备资源
  • 与项目的所有内部和外部相关方进行沟通,包括汇报关系
  • 分配和管理所有信息安全活动的所需资金
  • 衡量和监控信息安全计划的成本消耗、实施进度和完成质量
  • 确定项目的内外相关方,并协调其参与项目的执行
  • 向企业内部高层管理汇报信息安全计划的执行状态
  • 识别,审查,评估和正确使用那些影响信息安全的业务功能(SAAS,云,移动设备等等)

**治理,风险和合规性部门(GRC,Governance, Risk, and Compliance):**主要完成合理的监管、风险管理以及执行企业必须遵守的法律、法规、政策和其他与信息安全相关的合规性的所有相关工作。这些工作包括以下内容:

  • 信息安全项目和计划:定义、完成和强制实施相关的信息安全策略
  • 风险管理:建立信息安全风险管理的策略、流程和程序
  • 治理:治理和监督信息安全项目和计划(包括变更控制委员会(CCB)和其他监督委员会或小组)
  • 合规:确保安全控制措施足以满足安全要求;完成相关审核

**人事和对外关系部门(PER,Personnel & External Relationships):**负责企业信息安全项目中涉及的员工和相关外部人员的沟通协调工作。这些工作包括以下内容:
对外关系管理包括:

  • 管理与相关第三方(供应商,供应商,承包商,合作伙伴等)的关系
  • 管理相关的公共关系与(在美国,例如NCCIC,NSA,DHS,CERT,FBI,媒体等)

人事管理包括以下内容:

  • 按照以下安全政策和要求(背景调查,继任计划,纪律处分,解雇等)的规定管理员工雇佣关系的生命周期和绩效
  • 管理信息安全团队的知识,技能,能力和分配
  • 在企业范围内实施基于角色的信息安全意识和培训计划
  • 定义、实施和执行相关政策

安全运营中心(SOC,Security Operations Center)

**安全运营中心:**负责企业所有日常的网络安全运营工作,其中许多工作由IT成员定期执行监督并向CISO组织报告。以下是典型的SOC工作:

  • 安全情报来源的收集(敌对行为,安全活动事件,国家层面和国际间的正在发生的安全事件等)
  • 对企业信息安全威胁的分析和管理
  • 根据收集的情报和威胁信息做安全态势感知,并据此产生对于企业决策者来说有运营视角的报告
  • 日志记录(用户,应用程序,网络,系统,对物理资产的访问等)
  • 监控日志和其他相关信息(用户,应用程序,网络,系统,访问实物资产等)
  • 对企业网络安全漏洞,病毒和恶意代码的管理
  • 为企业信息安全提供一个事件响应Help Desk。此工作部门又称为计算机事件响应团队(CIRT)或计算机安全事件响应团队(CSIRT)
  • 安全事件的管理(检测,分析,响应和恢复)
  • 根据需要与安全事件的企业内部相关者和外部机构进行沟通

应急行动和响应管理部门(EOIM,Emergency Operations & Incident Mgmt.)

应急行动和响应部门的工作是与SOC密切合作的,该部门的主要职责是在重大安全事件发生时动员企业员工,启动应急计划并管理对处理时间有很高要求的这些行动和响应工作。在正常情况下,该部门与SOC成员一起完成以下工作:

  • 规划事件管理和响应
  • 规划如何确保企业业务连续性
  • 规划IT层面的灾难恢复
  • 对所有响应计划进行测试,演习和优化
  • 在安全事件发生后进行问题管理,根本原因分析和事后审查
  • 如有需要,在安全事件发生事中事后进行法律法规方面的调查,并与执法机构和其他监管机构合作所需调查工作

安全工程与资产安全部门(SEAS,Security Engineering & Asset Security)
安全工程和资产安全部门包括图中所示的六个子部门。这里将安全工程和资产安全合并在同一部门的主要原因是:在安全运营工作中为确保企业资产(主机,网络,系统,应用程序和信息)在运营过程中安全,在相关的购买和二次开发工作能够效率最高而需要的更大合作的必要。最近几年已经出现了很多做为DevOps的一部分而进行的这种协同工作的好处的案例,即企业的CISO会基于企业的相关技术领导决策基因和员工的相关技术能力的综合考虑,将相关的工作划分到不同的企业部门。

安全工程部门(SE,Security Engineering)完成以下工作:
安全要求:定义,分配及指定安全三要素机密性、完整性和可用性对企业的

  • 开发和收购工作及相关资产的要求
  • 安全架构:开发和维护企业的网络安全架构
  • 安全生命周期:确保企业所有资产在其整个采购和开发的生命周期中充分满足安全要求
  • 认证和资质:在新系统和软件投入正常运营前完成所需的认证和资质

**身份和访问管理部门(IAM,Identity & Access Mgmt.):**负责定义和管理代表需要访问权限的人员、设备和其他资产(例如信息,技术和设施)的身份。该部门还负责根据这些身份及其权限定义和实施访问控制策略。用于身份和访问管理的技术方法包括Active Directory,密码,PIN(个人标识号),数字签名,智能卡,生物特征等。

应用安全部门(AS,Applications Security)完成以下工作:

  • 开发和维护软件和应用程系统等资产
  • 根据安全要求定义、实施、评估和维护必要的控制措施,以保护相关软件和应用系统
  • 管理软件和应用系统的参数配置
  • 管理软件和应用系统的更新升级

主机和网络安全部门(HNS,Host & Network Security)负责以下工作:

  • 开发和维护网络(包括无线网络)、硬件、系统和移动设备等资产
  • 根据安全要求定义、实施、评估和维护必要的控制措施,以保护相关的网络、硬件、系统和移动设备(譬如,入侵防御和检测系统)
  • 根据安全要求定义、实施、评估和维护必要的控制措施,以保护网络和企业网络边界(譬如防火墙和v*n)
  • 管理网络、硬件、系统和移动设备的参数配置
  • 管理网络、硬件、系统和移动设备的更新升级

信息资产安全部门(IAS,Information Asset Security)负责以下工作:

  • 对企业的信息和重要资产进行认定、优先排序和分类(这里分类通常是基于信息资产的重要性和敏感性)
  • 开发和维护企业的信息资产
  • 根据安全要求定义、实施、评估和维护必要的控制措施,以保护信息和重要资产(包括媒体信息)

企业的物理环境安全通常会分配给企业的另外部门,譬如企业的首席安全官(CSO),也就是说该工作不是CISO的职责范围。CSO和CISO必须密切合作以确保对物理设施等有形资产的安全,尤其是那些包含信息技术和运营数据的资产。我们在CISO架构中包括这个物理访问控制部门(PAC,Physical Access Control),目的是负责定义和实施对环境设施和其他物理资产(例如网络和主机)进行物理访问所必要的数字和电子访问控制。由于该部门的范围有限,在CISO架构中也可以将其与其他部门譬如身份和访问管理部门合并为一个部门。

信息安全执行委员会(ISEC,Information Security Executive Council)

**信息安全执行委员会:**负责为CISO提供建议,并协助CISO确保以下三个任务的实现:

  • 企业信息安全目标和要求
  • 安全政策、方案、计划得到落实
  • 履行企业外部所需的合规义务

ISEC是CISO治理和监督职责的一个方面。
ISEC包括来自企业相关决策或业务部门的关键成员,例如,企业首席运营官,首席信息官,首席财务官,首席安全官(或企业物理环境安全的负责人),法律顾问,人力资源,首席隐私官,市场公关,营销,业务部门总监,工程总监和信息技术总监等。

关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。