哦,别告诉我:10个让安全专家害怕的声明

一个穿着涂有巧克力的衬衫的孩子说:“不是我干的。”电话铃响了,妈妈向你保证,“没什么好担心的。”一个系统管理员拿着一盒磁带说,“我们几分钟后就会把所有的东西都备份好。”有时你听到的第一句话——尽管与事实相去甚远——会告诉你需要做的一切我知道。

信息安全也是如此。乍一看,有些词听起来让人放心,但我发现它们经常指向保护内部信息资产和技术资源的问题,或者指向保护它们的人员和流程的问题。以下是一些能说明问题的短语,它们表明安全问题可能正在沸腾。

“我们有一种安全文化。”

不,你没有。

我经常听到这样的声音:一开始是一家五口之家的夫妻店,后来随着公司的发展而走向公司化,然后眨着眼睛,发现自己有上千人在经营,没有治理或政策。三块钱和他们的“安全文化”会让你在一个安静的咖啡馆里喝上一杯别致的咖啡,在那里你可以思考有多少工作要做。

简单的事实是,没有支持指令或反馈机制,每个人对安全性的定义都不同,没有人验证。遵守“文化”没有衡量标准,“安全文化”被每次“完成任务”的文化所取代。

如果有规则,写下来。如果有技术来实施或监控规则,也要写下来。如果有人违反规则,就要跟进。如果这些规则阻止了合法的交易,那就改变它们。就这么简单。

“IT安全就是信息安全。”

信息安全与信息技术中的安全不是一回事。如果“信息安全”一词与“IT安全”互换使用,那么它总是意味着没有人做出根本的非技术性安全决策,而且受影响的部门——IT、人力资源、法律、审计,或许还有组织中的其他部门——都在猜测其他部门的意思。

与上述部门有影响力的人一起决定信息(不是纸质文件或设备)是否是公司的资产,就像电脑和回形针一样。决定公司是否授权员工作为个人从事工作、实际访问和获取信息。把这些政策决定作为一个整体来制定,并由有权者签署。那么也许一天中会有更多的时间来决定如何管理安全性,而不是猜测安全性是什么。

“这不适用于老板。”

尽管由于《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act)的出台,这在上市公司已不再是一个问题,但偶尔一位高管会干脆拒绝遵守他批准的安全或隐私指令。除非你准备好用一种有法律依据的方式仔细地记录错误行为,然后把它们带到董事会或警察局(或者辞职),否则你只需要解决它。

大多数这些坏苹果可以通过利用他们的马基雅维利式的影响他人行为的意识来管理:他们至少应该表现出以身作则的样子,同时在关门的情况下继续做他们该做的事情。很少有人会承认这一点,但我遇到过许多it组织,他们只是为高管办公室的“访客”访问预算DSL线路,对接入的任何东西视而不见,并将支持时间记在测试实验室上。这不是一个理想的解决方案,但如果高管仍然愿意签署萨班斯-奥克斯利认证,其余的都归结为似是而非的否认。

“我们的信息安全官员是IT员工。”

头衔不重要。向IT主管报告的安全专家是安全管理员(专业系统管理员),即使此人拥有信息安全官员的头衔。

问题是,“官员”一词通常意味着有权核实和监督保护信息的所有技术和过程控制是否有效。IT安全管理员通常参与设计技术控制,因此不能自我审核或证明它所做的事情是正确的,特别是如果他在其中报告的话。在军事环境之外,公司安全官员应作为同级或高级人员向IT主管报告。

“我们有密码策略。”

严格地说,指定密码长度和复杂性的文档是技术标准或过程,而不是策略。策略是业务指令的容器,例如“在被授予访问公司资产的权限之前,必须对个人进行唯一标识和身份验证”。请注意,此策略示例涉及如何处理人员和访问权限,而不是如何构造可类型化字符的序列。

尽管某些软件供应商努力混淆这种语言,但诸如“组策略对象”之类的技术控制并不是策略。然而,我并不是一个固执的人,我会在没有啤酒的情况下就术语进行争论。在营业时间的讨论中,重要的是密码标准(或“策略”)由一个真正的策略支持,这样它就可以花时间实现控制,而不是试图维护推理或在没有授权的情况下要求遵守。如果没有一个支持性的理由和指令,你可能会花很多时间重复同样的指令,但毫无效果。

“我们的经理有所有密码的副本。”

尽管这一想法让大一新生晕头转向,但确实有管理者要求直接下属披露个人密码。对于这种咄咄逼人的愚蠢要求的解释总是“如果有人辞职或生病怎么办?我们怎样才能得到他们的文件?”

我上一次在一个小的国家机构里遇到这样的组织腔棘鱼,那里有很多律师,他们应该更了解。然而,当我面对罪犯的想法,多用户权限将允许他访问,我可能已经喊“进化!”我发现的唯一有效的策略就是说“如果你那样做,那么你就是他们做的任何坏事的嫌疑犯。你永远不能解雇他们,因为你也会成为嫌疑犯。”鼓励提前退休也值得一试。

“Web应用程序仅在以下情况下运行…”

使用IE安全地浏览Web或在公共互联网上公开自制的客户机/服务器应用程序是可能的,但找到一个仅为单个客户机配置设计的应用程序通常意味着安全原则被认为是匆忙过程中的最后一个原则——如果有的话。大多数设计良好的Web应用程序仅仅通过全面的测试就可以实现跨平台。

发现设计糟糕的Web应用程序是一个特别的问题,因为企业浏览器的Windows“安全区域”设置可能设置得比适当的低,只是为了让内部应用程序工作。当这些用户加载MySpace加载项并浏览他们的恶意软件邮件时会发生什么?像对待遗留问题一样对待这些应用程序,并与质量保证部门合作,在测试过程中包括基本的安全标准。

“X品牌是我们的标准。”

我并不反对戴尔公司,但当一家规模庞大的公司的硬件人员说“我们的标准是戴尔”(或任何其他品牌名称)时,他们真正的意思是,“我们把我们的技术标准扔出了橱窗,以换取购买折扣,现在我们购买供应商提供的任何产品。”这就相当于我阿姨在商店购物一家价格虚高的商店,还有她不需要的东西,她很兴奋,因为“这家有75%的折扣!”

当然,需要注意的是,我姑姑和现实世界中的IT人员都有其他的决定要做,而PC在这一点上几乎是商品。选择供应商的产品并持续订购一段时间是可以的,因为他们不太可能在一年内用巧妙伪装的华夫饼熨斗替代企业笔记本电脑。

然而,供应商并不是一个技术标准,如果没有人做足功课,就会酿成麻烦。当供应商对软件或产品线进行更改时——尤其是涉及到网络和安全设备供应商(如Cisco Systems Inc.)时——重要的是要掌握功能需求,看看它是否仍能按预期工作。当顾客不知道他们想要什么时,每一笔交易看起来都是他们需要的。

“嘿,那是从哪儿来的?”