安全風險管理 – 如何

2001 年 9 月 11 日的早晨,Turner & Owen 律師事務所的員工與其他任何一天一樣開始,該事務所位於自由廣場 21 層,就在 North World Profession Facility Tower 的街對面。在那之後,每個人都聽到了巨大的爆炸聲,他們的建築物彷彿在地震中一樣震動。碎片從天而降。

不知道發生了什麼,他們立即以有序的方式離開了這座建築——這要歸功於有組織的出院演習——帶著他們可以在途中的任何文件。文件櫃和計算機系統系統都需要留下。在隨後的災難中,自由廣場一號被蹂躪,前十層扭曲傾斜——特納和歐文的辦公室被殲滅。

儘管 Turner & Owen IT 團隊為他們的計算機系統製作了正常的備份磁帶,但這些磁帶實際上已被發送到在南環球貿易設施塔中發現的公司的一個部門,並且在南塔建成時它們完全丟失了被摧毀。Frank Turner 和 Ed Owen 知道他們必須恢復他們的實例數據源否則很可能會失敗,他們冒著生命危險爬過結構不穩定的 One Freedom Plaza,並獲得了 2 台數據服務器及其最重要的文件。有了這些細節,歐文特納的律師事務所就有能力在不到 2 週後重返工作崗位。

人們可能會認為,在如此毀滅性的死亡、家庭和信息之後數年,公司努力保護其員工、財產和信息的方式肯定會發生巨大的差異和改進。然而,變化實際上比許多人預期的要進步得多。一位不願透露姓名的信息安全和安全專家表示:“一些本應收到警鐘的公司似乎實際上忽略了這條信息。”看看這些年來實際上已經形成的一些趨勢因為 9 月 11 日顯示了向好的變化的跡象——儘管對更多細節安全改進的要求非常明確。

鑑於 2001 年 9 月 11 日發生在聯邦政府層面,信息安全和安保方面最明顯的修改發生了。各種行政命令、行動、方法和全新的部門、部門和董事會實際上都集中在保護美國的設施上,重點強調細節安全。

9/11 後僅一個月,Shrub 總統就批准了第 13231 號行政命令“細節時代的關鍵設施安全”,該命令制定了總統的重要設施保護委員會 (PCIPB)。2002 年 7 月,國家元首 Shrub 發起了國家國土安全方案,呼籲成立國土安全部 (DHS),該部門將領導 CISM 認證的倡議,以阻止、識別和應對化學襲擊,有機、放射性和核武器(CBRN)。2002 年 11 月授權成為法律的《國土保護法》使 DHS 成為現實。

2003 年 2 月,國土安全部部長湯姆·里奇(Tom Ridge)推出了 2 項戰略:“保護網絡世界的國家方法”,旨在“讓美國人參與並裝備他們來保護他們擁有的部分網絡世界、操作、監管或與之相互作用”和“國家重要設施和關鍵資產物理防禦戰略”,其中“描述了肯定會支持我們保護設施和資產的輔助概念我們的全國保護、管理、公共衛生和安全、經濟環境和公眾信心”。

此外,在國土保護部信息評估司和框架防禦 (IAIP) 理事會下,開發了基本基礎設施保障工作場所 (CIAO) 以及國家網絡安全部 (NCSD)。NCSD 的主要優先事項之一是建立一個綜合的網絡安全和安保監測、評估以及行動設施,遵循國家保護網絡空間方法的基本參考。

由於聯邦政府的所有這些活動都與保護由基本細節系統組成的框架有關,人們可能認為肯定會對經濟部門的信息安全和安保技術產生明顯的影響。但對國家安全技術的反應尤其是網絡世界一直不溫不火,批評集中在缺乏政策、激勵措施、資金和執法方面。細節安全和安保專業人士的觀點似乎是,如果沒有強有力的信息安全和安保法規以及聯邦層面的領導,至少在經濟領域保護我們國家關鍵細節的技術肯定不會發生重大轉變為了更好。

市場走向

然而,私營部門似乎正在加速發展的一個趨勢是,越來越強調需要在其他企業和組織之間共享與安全相關的信息,但以匿名方式進行。為此,公司可以參與多個行業特定的信息共享以及分析中心 (ISAC)。ISAC 收集通知並進行評估,並對物理和網絡危險、易感性和注意事項發出警報。它們向公眾和經濟部門通報保護重要信息技術框架、服務和個人所必需的保護細節。ISAC 成員還可以訪問詳細信息以及與其他成員提供的信息相關的評估,這些信息還可以從各種其他資源獲得,例如美國政府、

受到克林頓總統關於關鍵框架防禦的總統選擇條例 (PDD) 63 的鼓勵,ISAC 在 9/11 之前的幾年內首次開始形成;布什管理層繼續維持 ISAC 的形成,以接受 PCIPB 和 DHS。

ISAC 適用於大多數主要市場,包括適用於信息技術的 IT-ISAC、適用於金融機構的 FS-ISAC 以及適用於全球所有行業的 World Wide ISAC。在過去幾年中,ISAC 的訂閱量迅速增長,因為許多公司承認參與 ISAC 有助於履行其保護基本信息的應有謹慎承諾。

從 9/11 事件中吸取的一個重要教訓是,公司連接和災難恢復 (BC/DR) 計劃需要穩健並進行普遍評估。普華永道全球威脅監控解決方案總監 Richard Luongo 在襲擊事件發生後不久表示:“公司連續性計劃已經從讓審計師滿意的可自由決定的項目變成了監事會必須認真考慮的事情。” BC/DR 已確認其投資回報率,大多數組織都非常重視確保他們的公司和信息在發生災難時可恢復。

此外,實際上越來越重視威脅管理服務,以及如何將它們放在投資回報率和服務預算需求上。比以往任何時候都存在更多關於風險管理的會議、書籍、帖子和產品。雖然這一領域的一些發展可以歸功於 HIPAA、GLBA、Sarbanes Oxley、巴塞爾協議 II 等法規,但 9/11 做了很多工作,讓人們開始將危險和脆弱性視為危險的要素作為管理該風險必須採取的措施。

No Responses

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *