Wednesday, May 21, 2008

"Security": Whose Responsibility?

I assume readers of this blog are familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "CIA" triad of information security: confidentiality, integrity, and availability. Having spent time with many companies in consulting and corporate roles, it occurred to me recently that two or even all three of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se functions are no longer, or may never have been, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "security" team.

The diagram at left depicts this situation, so let's examine each item in turn.

Availability is probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defining aspect of IT. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resource isn't available, no one cares about much else. Availability problems are almost exclusively cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility of IT, with "uptime" being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir primary metric.

One would expect confidentiality to be fairly central to any "security" team's role. Exfiltration of data is partly a confidentiality problem. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest headache in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confidentiality world has been disclosure of customer personally identifiable information (PII) via loss or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of physical assets (laptops, backup tapes) or electronic exposure. Companies now employ dedicated Privacy teams, usually staffed predominantly by lawyers, to specifically address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handling of customer PII. One might have thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Security" team should have had responsibility for this subject. Instead, a legal problem ("Do we have to disclose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach to customers and/or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public?") is being addressed by lawyers.

Integrity is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three, and originally I thought it would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core "security" task for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Security" team. Then I remembered Sarbanes-Oxley and Section 404. I wondered if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Audit Staff's requirement to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "integrity" of records meant cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had a more institutionalized role in this area than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Security" team.

So what does this mean for "Security" teams? Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem in one way, you might think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no need for a Security team. CIA is covered by three groups, so Security is redundant. This is a mistake for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following reasons.

  1. The IT staff is not equipped to resist attacks, especially advanced ones. IT usually does a good job keeping resources functioning when equipment failure, provisioning woes, or misconfiguration causes downtime. IT is usually ill-equipped to stop intelligent adversaries who are three steps ahead of overworking administrators.

  2. If an IT staff can't handle attackers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no way lawyers can. Lawyers tasked with security responsibilities usually outsource everything to high-priced consultants. Legal teams have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 budgets for this, but it's not a sustainable situation. Privacy teams focus on salvaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company brand and market value after a breach; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not positioned to resist or detect incidents.

  3. Auditors look for problems and effect change, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not implement change. They look for weaknesses in processes and configurations, not intruders who have exploited those vulnerabilities.


I believe this state of affairs leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security team as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one group that has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper mindset, subject matter expertise, and ability to implement defensive operations to preserve CIA. This mission is not one cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security team accomplishes by itself, if that ever were possible. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, Security will (if not already) need to pair itself with IT, Audit, and Privacy in order to be effective. One could say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same for and Compliance groups, Governance officers, and/or Physical Security teams, although I'm less worried about those ties right now.

It should be clear at this point that it doesn't make sense for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security team to work for IT, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role it must play. A Security team working for IT is likely to be stuck supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Availability aspect of "security" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r CIA elements. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, it could be difficult for Security to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary bonds with Audit and Privacy if those groups see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security team as "just part of IT," or "technologists."

In this light, it makes sense for Security (CISO) to be next to IT (CTO) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate hierarchy, both working for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO. Ultimately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO is responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's information, so I don't see a way for [information] Security to be beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO's reach.

How does this review compare to your own experience?

7 comments:

Anonymous said...

Seems like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high-performing CISOs I know of that deliver on effective risk management across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A.I.C. triad show that ability independent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir position in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate hierarchy.

I think you are right about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 optimal functional placement. You have a sound argument. I just think that capable leaders can find ways to work around obstacles like organizational hierarchy.

You've probably looked at ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factors that lead to optimal performance for that role. Do you see hierarchical placement as a critical factor or are you just attempting to present a justification for what makes most sense?

Anonymous said...

Part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem lies within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C,I,A triad. It's nice conceptually, served a purpose, but it's time to retire it:

1.) There is usually an assumption of equal value to an organization, i.e. valueofC=valueofI=valueofA. This is generally false.

2.) The value of C,I,A to an organization isn't easily quantified, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y end up getting an ordinal scale. What follows can only be described as logical carnage, exercises that make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brain ignore so many fallacies that you'd have to be lobotomized or on prozac to noddingly accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gross arithmetic sadism.

As far as corporate hierarchy is concerned - I can see where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO function might be beholden to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CRO or CFO if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are ultimately responsible for ERM.

If I had to choose, I would agree that Security (all functions) should be it's own island and not dissected among IT/IRM & ERM/Physical Operations.

Anonymous said...

Richard, not only do I agree with your analysis, I've been making this argument for years now. So long as security is in IT, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO has to deal with a conflict of interest (whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not he/she is aware of it) between his core function (availability) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desire of security to balance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three.

The problem is one of perception. So long as security is not independent of IT, it will never be seen as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arbiter of all three corners of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triangle, capable of balancing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 privacy concerns of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lawyers with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 availability concerns of IT and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity concerns of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audit function.

That's what security needs to be. The professionals who bring togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three teams to arrive at an optimal result; in protection from attack, in detection of attacks and in investigation and remediation after successful intrusions.

Roland Dobbins said...

You can't divorce security from IT - security has to be a key attribute of architecture and operations. It's nearly impossible to retrofit security after-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-fact, especially when that entails ripping apart networks or applications or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r types of systems and starting over, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're insecure and unsecurable.

Systems, applications, and networks must be designed from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start to afford complete visibility, so as to effectuate total control. There is no way that a siloed security group can adequately support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se objectives.

There's certainly a case to be made for a distinct opsec group who respond in real-time, but again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can't be divorced from IT operations, else cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll be disbanded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y botch a response and end up making things worse.

Unknown said...

To try and keep security and IT togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, one could make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument that audit should be set apart. The CIO would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n have a reason to satisfy poor audit scores.

Interesting dilemma. :) In my own thoughts (but not experiences as of yet), it would seem self-defeating to have security outside of IT. To me, that seems to remove so much technical ability, access, and insight from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team.

Anonymous said...

What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational and oversight aspects of Information Security? The Operational side deals mainly with implementation of access controls and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Oversight function is mostly monitoring. Both functions provide consulting to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r groups on architecture, process design, etc. but should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y be togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same management? What management team(s)? IT? Security? Legal?

C Ray said...

You must have a CIO who is willing to support you when you step outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bounds of IT. Being a senior member of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C-level team who interacts with all levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company, he/she must promote security internally to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 division and within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various peer business groups. By promoting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department, it encourages those departments to be more forthcoming when involving security up front instead of after-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-fact. It also allows security to be better positioned when providing or justifying its business value to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization. He/she must also support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interaction of IT Security with those groups. IT Security must stay in tune with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 needs of those departments and be able to align cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of IT. This is especially paramount given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ever changing regulatory world we live in today – whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it’s due to federal regulations, State privacy laws, credit card standards, discovery requirements, etc.

On that same note, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO must be willing to hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news that may go against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational needs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 division. If he/she cannot accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be legal/privacy/security issues with an existing/new IT product, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security department is doomed to remain in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back seat and never to be truly integrated within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company. This also brings ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r issues up though such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security department ensuring it has a consistent and reasonable method for evaluating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se risks. That’s a different topic altogecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r though.

I have heard many arguments through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years that IT Security should fall outside of IT. There are pros and cons to both sides. Personally, if you can have a good relationship with (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respect of) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business integration within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 division, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I feel it is more advantageous to exist within IT. Being within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 division enables cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team to be closer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues at hand and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution. Again though, that is dependant upon many factors but primarily cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 division’s acceptance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department and security’s inclusion with ongoing projects. Being outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 division distances you furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r away with a function (or maybe perception) more like an audit agency. It also strains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing challenge for your technical staff to work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational IT teams for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of on-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-job training. That’s a difficult enough task as it is for security.

I would find it interesting to know of departments who do fall outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more common IT division tree to hear how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y overcome cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues.