Forrester 2011年安全策略建議

2011年1月25日，Forrester的VP和研究總監Khalid Kark在NetworkWorld上給企業和組織的CISO們提出了一份2011年的安全策略建議。【注：CNW上有一份中文譯文，不過譯文有若干處不達意:<】
Khalid Kark建議從三個方面進行考量：
1）更好的治理結構。尤爲是在面對社交網絡、移動互聯網和雲計算大勢所趨的狀況下。應該主動的去考慮這些新技術對企業和組織的影響，制定一份可接受的風險管理策略。
2）更成熟的安全流程，尤爲是針對數據保護的流程。這個流程相比以前的反應式的，要更加主動；不只限於身份管理，更要作到信息與訪問控制管理；除了要有突發事件處理計劃，更重要地是要有一份健壯的安全破壞響應計劃。
3）更強大的分析與報告能力，重點是安全的可見性、可測量性（可度量性）和可決策性。其中，決策支持能夠分爲三個層次：運維的，風險的，以及以業務爲中心的。每一個層次都須要不一樣層次的數據提供支撐。
這裏，我想對他提到的第三點多談一點本身的體會。
可見、可測量和可決策應該是安全管理的三個遞進和循環漸進的過程。正如西方管理學的廣泛原則同樣：你沒法描述就沒法測量，而你沒法管理和改進你沒法測量的東西。描述->測量->管理也是一組遞進關係。暫且不論這種方式對於安全管理是否可以真正有效，至少咱們值得深刻探討KarK及其Forrester的安全管理思想。
能夠說，對於各級安全管理角色而言，都須要做出本身的安全決策，不論你是安全運維人員，或者是風險管理經理，抑或是領導層。
對於一二線的運維人員而言，SIEM應該是一個比較有效的分析工具，能夠幫助他們看到重要的安全事件和突發事件。固然若是使用不當，可能拔苗助長，陷入事 件的×××大海。對於風險管理經理而言，一套行之有效的風險管理流程和工具是有必要的。而對於高階的安全主管和領導層而言，必須知道IT風險之於企業和組織 業務意味着什麼，也就是業務風險。
在可見、可測和可決策三個環節種，最關鍵的是可測量，也就是安全測量，或者叫安全度量。安全測量也是能夠分爲不一樣層次的，對於運維人員，風險管理人員和決策層而言，有各自的測量數據和測量指標。在運維層，測量指標更加偏IT，而在決策層則更加偏業務。
最後，回到Kark的這個文章，正如他在開篇所述：Forrester's research shows that a majority of challenges for security professionals all relate to business orientation and alignment（安全專家們的主要挑戰都關乎業務——面向業務或者結合業務）。他舉例到：Many senior business and IT leaders are asking CISOs to better support and align with the business and IT objectives, requesting regular interactions and updates from security teams.