Forrester 2011年安全策略建议

2011年1月25日，Forrester的VP和研究总监Khalid Kark在NetworkWorld上给企业和组织的CISO们提出了一份2011年的安全策略建议。【注：CNW上有一份中文译文，不过译文有若干处不达意:<】
Khalid Kark建议从三个方面进行考量：
1）更好的治理结构。尤为是在面对社交网络、移动互联网和云计算大势所趋的状况下。应该主动的去考虑这些新技术对企业和组织的影响，制定一份可接受的风险管理策略。
2）更成熟的安全流程，尤为是针对数据保护的流程。这个流程相比以前的反应式的，要更加主动；不只限于身份管理，更要作到信息与访问控制管理；除了要有突发事件处理计划，更重要地是要有一份健壮的安全破坏响应计划。
3）更强大的分析与报告能力，重点是安全的可见性、可测量性（可度量性）和可决策性。其中，决策支持能够分为三个层次：运维的，风险的，以及以业务为中心的。每一个层次都须要不一样层次的数据提供支撑。
这里，我想对他提到的第三点多谈一点本身的体会。
可见、可测量和可决策应该是安全管理的三个递进和循环渐进的过程。正如西方管理学的广泛原则同样：你没法描述就没法测量，而你没法管理和改进你没法测量的东西。描述->测量->管理也是一组递进关系。暂且不论这种方式对于安全管理是否可以真正有效，至少咱们值得深刻探讨KarK及其Forrester的安全管理思想。
能够说，对于各级安全管理角色而言，都须要做出本身的安全决策，不论你是安全运维人员，或者是风险管理经理，抑或是领导层。
对于一二线的运维人员而言，SIEM应该是一个比较有效的分析工具，能够帮助他们看到重要的安全事件和突发事件。固然若是使用不当，可能拔苗助长，陷入事 件的×××大海。对于风险管理经理而言，一套行之有效的风险管理流程和工具是有必要的。而对于高阶的安全主管和领导层而言，必须知道IT风险之于企业和组织 业务意味着什么，也就是业务风险。
在可见、可测和可决策三个环节种，最关键的是可测量，也就是安全测量，或者叫安全度量。安全测量也是能够分为不一样层次的，对于运维人员，风险管理人员和决策层而言，有各自的测量数据和测量指标。在运维层，测量指标更加偏IT，而在决策层则更加偏业务。
最后，回到Kark的这个文章，正如他在开篇所述：Forrester's research shows that a majority of challenges for security professionals all relate to business orientation and alignment（安全专家们的主要挑战都关乎业务——面向业务或者结合业务）。他举例到：Many senior business and IT leaders are asking CISOs to better support and align with the business and IT objectives, requesting regular interactions and updates from security teams.