百家 | CSO养成:“大安全”之全局观
“百家”,对安在来说不算是新栏目,比如早前我们曾开设过的专家专栏,但算是又一次的开始,这意味着我们将以更开放和更包容的方式让网络安全“诸子百家”们“百花齐放”,他们是各个行业代表性企业的CSO、安全骨干,是业界大咖、专家,是思想者、实践者和分享者。为此,安在将会持续呈现来自“百家”们的最佳实践和真知灼见。
本期“百家”分享者,长期奋战在网络安全实践一线,现任某芯片设计公司信息安全总监。他的CSO系列文章最初发表在“安全村”(www.sec-un.org/)。
truebasic,经历复杂,当过开发、项目经理、创业者,“误入”信息安全行业12年,科技研发型企业甲方经历为主。希望成熟的甲方一起来带动乙方市场的健康成长,故有此CSO系列。期待与甲乙方同行多交流、共成长。联系邮箱truebasic@outlook.com。
本来这一篇的标题是“如何满足信息安全合规要求”,但是2018年发生的一些事情让我重新审视这个话题,并且根据与一些同行的交流发现,很多中小企业主其实对于信息安全应该干什么、不干什么其实并不清晰,因此我修改了本篇的话题内容,并提前来聊聊这个内容。
很幸运的是,我在前后几家公司里面负责信息安全工作的时候,所在部门都是与IT分开的,向不同的领导汇报。这种局面让自己很早就摆脱了“安全=IT”的印象,但反而陷入了另一个误区,“信息安全部”=“安全部”。于是很多主管、员工甚至CXO就有这样的诉求:
以上是我和其他一些安全从业人员身上真实发生过的事情,刚开始的时候真的是哭笑不得。慢慢的我就开始思考为什么会这样?2018年中兴被美国公司制裁,圈内就有争论,说中兴的安全团队是不是要为这些事情负责?也引发了我的思考。我觉得大体有如下几个原因吧:
所以呐,读者在回顾“我眼中的信息安全意识教育体系”时候,一定要记得:对老板的教育是持之以恒的的工作,不可松懈。
基于过往的经验和认知,总结了一下。不一定完整和恰当,还欢迎各位读者指正、补充。
1、遵守国家或地区颁布的强制性法律法规。如中国政府颁布的《网络安全法》,公安部颁布的重要、基础行业必须要遵守的《等保》。
2、遵守行业规范或标准,如:
1、对于在研发过程中使用开源软件模块,必须遵守的GPL、BSD、LGPL等开源软件协议:这个业务我认为和信息安全没啥关系,心大的CSO可以有限介入(比如在评估选型工具的时候,协助业务部门开展测试),没精力的直接拒绝好了。这是一个专业的活儿,市面上的商业化工具都是几十万人民币,没必要跟人家抢活。
2、对于在研发过程中使用开源软件模块,可能没有很好地遵守GPL、BSD、LGPL等开源软件协议、但又不想被发现的需求,明确地告诉他,不要去违反开源社区的规则,一定会被发现、不要存侥幸心理。一方面会把公司玩坏,一方面还会把中国人的名声玩坏了,切记切记。
3、对于业务部门提出因为做了一些违规操作,希望修改系统、邮件、电脑数据甚至销毁证据的一些做法。CSO和安全团队千万不要参与,直接Say No就可以了,无数的事实证明了一点“要想人不知、除非己莫为”,你要真干了,一定是有办法抓到你的,何苦呢。还不如规规矩矩做生意,老老实实做好产品和服务。
遵守与合作伙伴、供应商签署的商业合同中的条款,如:
4、各种ISO管理标准、体系中附带的信息安全要求。标准太多,我也不全知道,就不献丑了。
5、如果是上市公司,还要遵循上市监管要求当中所包含的信息安全要求。比如著名的SOX法案,比如中国证监会对于上市公司要求的信息披露要求、内控要求。
6、管理企业的物理安全,包括人员、物品出入管控,物理区域隔离、监控与巡查,物理安全设备系统的维护、运营,保安队伍的管理。
7、保护员工个人信息:公司员工的个人信息在企业内外部流转时所要遵循的保护要求。
8、应对灰色业务的需求:
还记得我们在前面篇章中提出的“业务安全”的概念吗?“业务安全就是让业务平平安安地赚钱”,这两个似乎也可以列入“业务安全”范畴啊!怎么办?
9、产品安全:使得公司对客户、合作伙伴提供的产品、服务满足机密性、完整性、可用性、可追溯性、合规性的要求。
10、对于公司员工个人情况的调查。比如调查员工。
看到这些问题,真的很头疼。一方面是我们的专业诉求、职业操守,一方面是老板要求、企业经营中的现实需求,怎么办?给点我的建议,不一定恰当,大家共同探讨。
1.基本态度
对安全团队价值直接影响的范畴,义不容辞;与安全团队价值相关的范畴,合作共赢;灰色地带,有限介入;完全无关的,尽量拒绝。具体怎么做?
2.义不容辞的领域
在“如何设计一个企业的信息安全目标和路线图”篇章中,已经提到了如下的信息安全合规要求,我认为属于义不容辞的领域。再重申如下:
(2)行业规范或标准(如工信部颁布的对电信运营商、互联网服务提供商的《电信和互联网用户个人信息保护规定》;
(3)与企业客户、供应商签署的商业合同中的信息安全条款;
(4)各种ISO管理标准、体系中附带的信息安全要求;
(5)如果是上市公司,还要遵循上市监管要求当中所包含的信息安全要求;
3.合作共赢的领域
这些领域“做得好会产生正面影响、做的不好会有严重负面影响,而且需要持续投入”,建议明确责任部门,支持、配合他们保障企业不出事。
(2)遵守开源协议的要求:一般建议把这个决策和管理职责交给业务部门、法务部门或合规部门。安全部门可以帮助他们寻找、部署、运维工具,甚至一起优化工具的使用。
(3)遵守软件正版化要求:一般建议把这个决策和管理职责交给业务部门、法务部门或合规部门。安全部门、IT部门使用的桌面管理工具一般都会有这个管理功能,将之提供给给负责部门,提供好工具、数据上的支撑。
(4)产品安全:这个尺度好难把握。产品安全团队的人员技能和信息安全团队的人员技能估计有至少90%是重合的,所以能力强的CSO你就收了吧,如果不想干的话、提供技能支持、知识交流、供应商资源的支持还是必要的,毕竟是公司整体受益嘛。
4.有限介入的领域
这些基本都是在合规方面存在争议的领域。国内这些年在这些领域已经取得了长足的进步,至少在认知上已经从“不知道”到了“知道、比较重视”的地步。但在科技研发型企业看来,合规治理说到底就是拼资源、拼投入,但合规的投入真的太大、而且看不到直接成效,所以现实世界中不可避免地存在灰色地带。那么CSO遇到这种情况怎么办?
(2)对于企业内部“软件正版化”可能产生的灰色要求,建议由法务部门、合规部门和老板一起做出决策。这个过程中,安全部门可以提供工具、提供数据,但不负主要责任、也不要提供决策建议。软件正版化在国内还有很长的路要走,尤其对于中小企业来说,我个人认为可以允许一定的灰度存在。
(3)对于竞争情报获取、加工、分享链条中的安全保密需求。建议安全部门仅参与加工、分享环节的风险防范措施,可以给予技术指导、参与制订合规方案,仅此有限介入就可以了。千万不要参与获取环节的违规操作(比如直接去扒竞争对手的垃圾箱),我觉得这是底线,一定要记住“要想人不知、除非己莫为”。当然,获取环节的合规操作(比如通过互联网公开信息渠道获得竞争对手信息)是没有问题的。
(4)企业内部管理时,多少都掌握了一些员工个人信息,尤其是HR,安全部门应督促HR尽可能用IT系统保管、流转员工个人信息、并将系统纳入保护范围;同时CSO在内部提升员工意识的时候,也可以多多引用保护个人信息的案例和方法,两者有较多相同性。
5.尽量拒绝的领域
(2)对于企业内部可能存在的其他违规操作(比如可能违反规定将零部件、技术提供给非授权客户使用,又不想被发现;比如要给客户送感谢费,又不想留下证据),很多人都美其名曰“灰色操作”,其实就是没有被发现的违规操作。如果老板希望安全部门参与此事,一定要严词拒绝,因为首先这是负民事或刑事责任的违法行为,其次一定要记住“要想人不知、除非己莫为”,这年头根本没有不透风的墙!这根本不是灰色操作,这是赤裸裸的黑色操作。万一将来出事了、让安全背锅怎么办?CSO背不起这个锅啊!
从上面的描述来看,CSO面临“大安全”的诉求时,有好几类领域应该寻求合规团队的支持(如果没有合规团队,找法务团队就可以了),或者这么说:这类业务都应该由合规团队牵头负责制订业务规则,而安全部门可以提供必要的技术支持。
因此,安全部门和合规团队的密切合作是不可缺少的,这样既帮助公司控制了违规风险,也帮助自己减少了不必要的工作量,这种运作方式是我认为比较恰当的。
网络安全新媒体联盟,由聚焦网安行业的包括安在、E安全、Freebuf、看雪论坛、数说安全、安全村、网安视界、游侠安全网、一本黑等在内的新媒体或自媒体共同发起成立,同时有《中国信息安全》顾问支持,是非营利非实体性质的新媒体联络协调和合作互助机制。
”人物 ∣ 热点∣ 互动 ∣ 传播
投稿及商务合作请在后台回复关键字即可