公司的資安治理該從何開始? (Part 2)
淺談資安評估應用情境 Security Review is a verb.
希臘哲學家赫拉克利特 Heraclitus 說:「The only thing that is constant is change」,世界上唯一不變的就是「一直在變」。
市場環境與客戶需求是處於動態的狀況,所以公司的產品、服務與營運就必須能適應(adapt)常態性的變動。當公司的市場端與客服端的部門跟著客戶的需求而變動時,資訊管理 (IT Strategy) 與資安管理 (Security Program) 必須跟的上腳步。資安管理還必需同時也滿足法律規範的變動、維護資安防護品質與對抗駭客日新月異的手法。所以資安評估 (Security Review) 必須是ㄧ個動詞,是一直在練習與執行的。以下我用情境的方式分享 Security Review 的應用。
情境一:分工究責及風險分擔 (Accountabilities and Risk sharing)
投資銀行的投信部因為商業應用上的需求正在規畫ㄧ套新系統。
軟體開發專案經理根據專案管理標準程序 (SDLC) ,必須參加專案管理辦公室的週會,審核專案簡報與預算。資安評審長則依規定參加專案辦公室的週會,提供初步的資安建議與需求項目,並記錄於該專案的 Security Review 文件。 軟體開發專案經理應依照 Security Review 文件,在專案開發過程中試著滿足資安規格。在開發過程中遇到任何的疑問或變動,軟體開發專案經理可主動的尋求資安評審長的協助,例如:防火牆規則的變更或系統應用帳號的創立等。當服務上線前的資安確認事項(Verification)都完成時,此Security Review的狀態可改為 Approved,便可以結案。在這個情境,資安評審長扮演的是資安顧問 (advisory) 的角色,把規範稽核需求與資安需求化成可執行的項目。 Security Review 則是個通行文件,讓專案執行的過程中可以順利的做系統環境的變更與設定。
情境二:彈性空間與變動能力(Flexible and Dynamic)
證卷部因為交易量變大了,必須擴充修改現有的交易系統,增加平衡附載與對應防火牆規則。
專案管理經理根據專案管理標準程序 (SDLC) ,必須參加專案管理辦公室的週會,審核專案簡報與預算。 由於軟體架構與管制 (Control) 並沒有變動,新的硬體系統會依照之前的設定進行擴充。經驗豐富的專案管理經理必須在會報中申請相關的防火牆規則變更。資安評審長在聆聽會報時發現該軟體已經有多個 Approved reviews。資安評審長便快速的新增一個 Security Review,記錄與核可 新的變更項目,同時保留一個 待處理Pending 項目,為新伺服器的弱掃。弱掃的目的是為了做上線前安檢確認Verification的動作。專案經理在系統正式上線前,跑一個弱掃流程與修補移除不必要的服務(port),此Security Review 項目便可以完成 (Approve)。 Security Review 文件是一個重要的基準資訊,增加系統安全架構的能見度 (Configuration Management),減少不必要的風險敞口 (exposure) 與重複做同樣的事。
情境三:簡化、溝通及可見度 (Simplicity, Communication and Visibility)
由於公司的資安品質需求已經超越現有的監控,需導入整合性更高的日誌管理與監控 SIEM 系統。此專案的推動者(Driver and Sponsor)為董事會的資安委員,由系統CTO底下的 Security Sustainability Group 執行專案管理,由資安管理部作規格的設定與審查。
導入SIEM 對一個企業是ㄧ個工程浩大的事。如果專案計劃也包含 SOC 的建置,跨部門的流程複雜度比擬一個資安管理的ERP系統,而且必須同時解決複雜的系統日誌收容、正規化的技術問題、與事件應變管理的問題。應用資安評估流程 Security Review 為中心的資安治理方式,可以更有效的統整意見並減少溝通成本、表列複雜的技術規格與資安架構需求、並順出最適合的人與流程執行細節,從公司的最大利益為基準(規範與標準)而做出「對的」資訊安全的決策。決策與規格制定好了,執行過程就相對容易。多年前 SIEM 的 Security Reviewer 剛好是我負責的,Review 的技術細節需要更大的篇幅有機會再跟大家分享。
上述的情境能順利落實資安管理,最主要的原因就是將資安決策統合成單一個流程與單一個概念,其餘複雜的資安細節就分責交給每項細節的專業人士。公司的資安管理要能成功,另一個也很重要的元素就是對公司內部的行銷(也可稱作是內部整體主管及員工的資安教育訓練)。有行銷觀念的人會知道複雜的流程與概念是不容易行銷的,因此要對內行銷資安管理,就必需是容易理解、淺顯易懂的方式才會比較容易成功。Security Review 剛好可以符合這個概念:驅使公司組織遇到資訊軟體系統採購、開發或變更時,直覺的行動就是成立一個專案,讓專案經理(PM)與資安評審長做 Security Review。
恭喜你能看到這裡,或許你可能還是霧煞煞,但資安管理無法一蹴可及,多涉略不同經驗的管理方式總是有幫助的。下一部分我們會來討論 Security Review (文件)的實際內容。
公司的資安治理該從何開始?(Part 1) 淺談資安評估流程 Security Review is an organizational decision-making process
公司的資安治理該從何開始?(Part 3) 淺談資安評估文件 Security Review is a document
文章日期: 2020.08.27
作者 李彥民 Anthony3000 曾多年服務於美國金融機構,專精於資訊安全策略及框架規劃、資安評鑑與架構規劃,協助多家美國金融機構改善資安流程與制度管理。曾任大型投資銀行的資訊安全長(BISO),擁有資訊管理碩士學位(專修資安管理) 與「電腦駭客鑑識調查員」證照 (CHFI)。本文撰寫時,任職於凱信資訊股份有限公司的資訊安全顧問經理。
Disclaimer: 本文圖片及內容由 Anthony3000 彙集製作,如需轉貼或改作我的文章與圖片:1. 請在圖片上與文章內註明並引用作者與網頁的出處連結。2. 歡迎您在尊重智慧財產權的前提下分享或轉貼我的文章與圖片,若有其他商業用途請先徵求本人的審查與同意。3. 歡迎下載提供的範例檔案或軟體,本網站作者不保證內容的完整性或適合在所有場合使用。
