为什么知道数据流在何处,与谁共享以及在何处生活在何处以及实现这一目标的最佳方式是什么?

这是另一个Isaca会议,会议室里有数百名安全专业人员,他们都非常渴望了解有关网络风险最大的地方的最新想法。它是加密劫持,来自民族国家的攻击,流氓内部人员,CPU设计中的漏洞,无文件恶意软件?

现实情况是,没有网络风险的主要清单。当谈到网络威胁时,没有一个适合所有人。网络安全风险主要取决于组织本身 - 他们提供什么产品和服务,这些活动包含哪些有价值的信息,他们现有的网络安全防御有多好,公司可能不小心对抗潜在的黑客 - 但这里来了真正的问题:

为了保护您的价值信息 - 您必须了解它。你必须知道你拥有它,但你拥有它,以及你允许它去的地方。这是因为,如果您不知道您的有价值信息是什么,或者您允许其流动的位置 - 您就没有机会确保对其应用正确的安全性。

有一波协议席卷观众。每个人都同意您需要数据治理。毕竟,这个学科被称为“信息安全”是有原因的。

根据我自己的审计经验(现在也是基于在许多会议上提出同样的问题),我向听众提出这个问题 - 我邀请你(读者)思考你自己的反应:如果你的手在空中您的企业拥有一份包含所有有价值信息的最新清单,包括您期望的所有地点并允许数据流动 - 供应商,云服务,应用程序......?

在拥有200名或更多安全专业人员的房间里,您认为有多少只手在空中?有时是少数,有时甚至根本没有。

嗯,这与观众中的专业人士的能力无关。他们始终清楚地意识到有效数据治理的必要性。他们知道任何有价值的数据集都应该经过数据分类。此外,还缺乏培训和指导,例如,Isaca出版物和教育计划中有大量可用的数据治理资源。

安全智库:数据治理对数据安全至关重要-IDC帮帮忙

根据我的经验,围绕数据治理的问题有三个主要驱动因素。

网络安全过去常常与网络安全有关:在相当长一段时间内,可以将公司网络视为封闭式社区。预计安全专业人员会偷工减料并保护社区(网络),而不是通过更昂贵和费力的过程来获得具有潜在价值的每个数据集来进行数据分类过程。这种方法不再适用,但让治理结构调整回到将数据治理置于其安全领域的中心有点类似于要求超级油轮立即转90度然后跨越陆地行驶几英里。
当所有结构和部门都为某些角色做好准备,然后目标发生变化时,重新设计和重新装备这些角色需要时间。这导致了第二个挑战:

没有足够的时间分配给安全人员进行培训和教育:技术前景变化比以往任何时候都快。如果您希望您的安全专业人员保持同步,那么只希望他们能够通过分配少量的培训时间和预算来保持良好状态,这将无法为您或您的员工提供良好的服务。我将超过50%的时间花在研究上,而我几乎没有跟上必需品。
我们需要认识到,与大多数其他角色相比,安全专业人员需要更多的时间分配给持续专业教育。Isaca每年平均需要40个CPE [持续专业教育]时间,以便会员保持其认证。现实是,我们大多数人必须达到远远超过最低限度。如果您是一个努力招聘或留住员工的组织,您可能希望了解您为安保人员提供的持续培训和教育。

3. CISO没有向主管报告:您在哪里插入首席信息安全官(CISO)?在Isaca的2018年网络安全状况调查中,发现即使在安全人员自身内部,他们应该在何处报告也存在“惊人的缺乏共识”。只有35%的受访者表示他们的角色是报告安全功能,30%报告给CIO(首席信息官),剩下的35%报告给众多职能部门。

向首席执行官汇报
在我看来,CISO只有一个有效的地方可以报告,而且直接面向首席执行官(首席执行官)作为主要执行官的一部分。如果我有任何疑问,我会将此作为进一步的证据; 我只见过几只手,承认他们的组织已经设法让他们的数据资产和数据流被清点。

当我问一个后续问题时,有100%的相关性。唯一让他们的数据治理正常运行的人也有CISO向他们的首席执行官报告。

这在实践中意味着什么?这意味着了解您的价值数据以及您允许其旅行的位置,是实现有效安全的关键。

然而,最有可能达到这一地位的组织似乎也认识到需要将首席财务官的CISO直接放在主板上。在没有正确的检查和平衡的情况下允许资金流动之前,您可能会三思而后行。现在是时候考虑具有相同完整性的信息流。