Forrester 2011年安全政策建議

2011年1月25日，Forrester的VP和研究總監Khalid Kark在NetworkWorld上給企業群組織的CISO們提出了一份2011年的安全政策建議。【注：CNW上有一份中文譯文，不過譯文有若幹處不達意:<】

Khalid Kark建議從三個方面進行考量：

1）更好的治理結構。尤其是在面對社交網絡、移動網際網路和雲計算大勢所趨的情況下。應該主動的去考慮這些新技術對企業群組織的影響，制定一份可接受的風險管理政策。

2）更成熟的安全流程，尤其是針對資料保護的流程。這個流程相比之前的反應式的，要更加主動；不僅限于身份管理，更要做到資訊與通路控制管理；除了要有突發事件處理計劃，更重要地是要有一份健壯的安全破壞響應計劃。

3）更強大的分析與報告能力，重點是安全的可見性、可測量性（可度量性）和可決策性。其中，決策支援可以分為三個層次：運維的，風險的，以及以業務為中心的。每個層次都需要不同層次的資料提供支撐。

這裡，我想對他提到的第三點多談一點自己的體會。

可見、可測量和可決策應該是安全管理的三個遞進和循環漸進的過程。正如西方管理學的普遍原則一樣：你無法描述就無法測量，而你無法管理和改進你無法測量的東西。描述->測量->管理也是一組遞進關系。暫且不論這種方式對于安全管理是否能夠真正有效，至少我們值得深入探讨KarK及其Forrester的安全管理思想。

可以說，對于各級安全管理角色而言，都需要作出自己的安全決策，不論你是安全運維人員，或者是風險管理經理，抑或是上司層。

對于一二線的運維人員而言，SIEM應該是一個比較有效的分析工具，可以幫助他們看到重要的安全事件和突發事件。當然如果使用不當，可能适得其反，陷入事件的×××大海。對于風險管理經理而言，一套行之有效的風險管理流程和工具是有必要的。而對于高階的安全主管和上司層而言，必須知道IT風險之于企業群組織業務意味着什麼，也就是業務風險。

在可見、可測和可決策三個環節種，最關鍵的是可測量，也就是安全測量，或者叫安全度量。安全測量也是可以分為不同層次的，對于運維人員，風險管理人員和決策層而言，有各自的測量資料和測量名額。在運維層，測量名額更加偏IT，而在決策層則更加偏業務。

最後，回到Kark的這個文章，正如他在開篇所述：Forrester's research shows that a majority of challenges for security professionals all relate to business orientation and alignment（安全專家們的主要挑戰都關乎業務——面向業務或者結合業務）。他舉例到：Many senior business and IT leaders are asking CISOs to better support and align with the business and IT objectives, requesting regular interactions and updates from security teams.