维持安全就像保持家里干净一样?

Encari(一家关键基础设施信息安全咨询公司)的Matt Luallen和Steve Hamburg最近在他们的博客www.globalelove.com上评论了他们最近在帮助NERC注册实体(例如，发电和输电公司)解决各自NERC CIP可靠性标准合规问题方面的工作。不管您的组织是否符合这些NERC要求，Matt和Steve坚持认为，重要的是要认识到，将您的安全策略集中在他们称之为“时间点安全”的现象上是不可行的。以下是他们对这个问题的看法:

“时间点安全是指你在那个时间点的安全状态。可行的安全策略需要关注可持续的安全性，或者，在遵从性的上下文中，关注可持续的遵从性。

这就是保持家里清洁的类比。比方说，你最近决定着手实施一项“清洁家居”战略。不要理会你的同伴、同事和朋友说你这么做是疯了，想想实施这种策略所带来的挑战。想想当你的家达到最佳清洁状态后会发生什么。如果你一天或一周后不清洗厨房里的盘子会发生什么?如果你几天或一个星期不洗家人的衣服会发生什么?如果几个月后不清理排水沟会发生什么?

“现在把这个思考过程应用到你的安全姿势上。您可能拥有世界上最好的变更控制和配置管理过程。但是，如果这个过程不是每天多次维护，那么您的安全性会受到损害。你们的信息保护计划、你们的补丁管理流程、你们的公司安全政策、标准、流程和程序、你们的测试、开发(即非生产环境)和生产环境、你们的招聘流程、你们的身份和访问管理流程等等呢?

“所以，我们在这里想说的是，不要从时间点的安全角度考虑问题。为了维持期望的合规性和/或期望的安全状态，必须无限期地重复满足适用的安全考虑。”

要阅读更多马特和史蒂夫的帖子，请访问www.globalelove.com，点击页面顶部的“博客”链接，向下滚动到工业网络安全。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。