自2023年10月起,“诸子笔会2023第二季”正式拉开帷幕。10位专家作者组成新一届“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取万元高额奖金以外,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
网络安全管理中人的因素——责任和能力小议
文 | 陈圣
陈圣
中通快递高级安全专家
15年以上内控及内审监察、IT审计、信息安全管理等工作经验,目前深耕并专注于网络安全、隐私保护、数据合规管理、风险评估等领域。
设定目标,做好规划,这只是包括网络安全在内企业各项工作整体发展的第一步,接下来很重要的就是怎么去落实,而要落实,归根到底还是人。
领导层:负责制定整体网络安全策略、政策和目标,并提供足够的资源和支持来实施这些策略。他们还应对网络安全工作负有最终责任,并确保整个组织对网络安全的重要性有清晰的认识。
网络安全部门:负责制定和执行网络安全计划、策略和控制措施,包括安全架构设计、漏洞管理、事件响应等。他们还负责监测和评估网络安全风险,并提供培训和意识提升活动。
部门负责人:每个部门负责人都应对本部门的网络安全负责,包括确保员工遵守安全政策、关注安全风险和事件,并采取适当的措施来保护本部门的信息和资产。
员工:每个员工都应对自己在工作中的网络安全负责,包括遵守安全政策、注意识别和报告安全风险、参与安全培训等。
在计算机科学中,分治算法是一种算法设计范例,分治算法将一个问题递归地分解成两个或更多相同或相关类型的子问题,直到这些问题变得足够简单,可以直接解决,然后将子问题的解合并以得到原始问题的解。
从我作为信息安全从业者多年的经验中,以及我在各种业务数据泄露事件中的所见所闻,我了解到基线评估项目和网络安全威胁修复项目,往往只有在损害发生后才得到真正的关注。因此,我设想出一种新的网络安全项目实施方法。实质上,这是一种预防性的方法,旨在利用公司内所有现有的能力,而不是将我们的防范措施集中在不幸的数据泄露之后参与恢复业务的同一群人身上。
其实想法很简单,将数据安全的责任分为两个大的领域:“人员”和“技术”。一方面,“人员”显然是信息安全整个生命链中最薄弱的环节,他们经常会破坏已建立的系统安全措施。毕竟,系统必须配置为允许人员访问其中的数据,否则,如果系统过于封闭,它们将变得无关紧要,业务所需的信息将不得不通过其他不太安全的方式流动(CIA三元素——高可用性概念)。另一方面,我们对设备、网络和系统应用技术安全特性,以确保只有授权人员被允许访问系统中的信息(CIA三元素——保密性概念),我们还投入大量精力确保数据不会意外更改或破坏,并根据其目的进行适当的管理(CIA三元素——完整性概念)。
举个例子,根据新的《通用数据保护条例》(GDPR),DPO(数据保护官)的角色通常不在IT部门内,规定要求这个角色是独立的,并代表数据保护机构。网络安全风险管理是一个复杂的问题,特别是由于不断演变的威胁和不断变化的参与者,让一个团队负责这个任务是非常困难的,需要承担巨大的责任和技能。复杂问题的解决需要超出任何单个个体的专业知识和智能。IT安全团队擅长他们的工作,他们接受过培训,并且对公司有全面的了解以提高效率。然而,人力资源和风控部门也具备同样的能力。
在我目前的观点中,其实更加倾向于我们跳出技术团队的范畴来实施网络安全策略。这种方法将通过涉及更多部门来分担责任,从而创建一个良性的协作循环。网络安全计划在部署中的一个困难领域就是终端用户的意识,这个特定领域可能非常适合由人力资源部门管理。企业文化、行为准则和调节人们行为的技能在人力资源部门的活动中是天然存在的,并且可以在预防数据暴露和不必要的安全风险方面发挥重要作用。此外,一些活动还可以在人力资源、企业价值、企业风险管理、市场营销、风险预防以及IT运维之间进一步划分。每个部门可以采取、开发和部署最适合其技能和在公司中位置的部分。
个人能力:通过培训、认证和持续学习,个人可以提升自己在网络安全领域的专业知识和技能。企业可以提供培训资源和支持,鼓励员工参与相关的培训和认证项目。简单点就是给予完全的支持和经费支持。
团队能力:组织可以组建专业的网络安全团队,确保团队成员具备综合的网络安全知识和技能。团队成员之间应建立良好的沟通和合作机制,共同解决问题和提升能力。
部门能力:网络安全部门应具备专业的技术能力和管理能力,能够有效地规划和执行网络安全策略。此外,与其他部门之间的合作和沟通也至关重要,以确保网络安全措施的有效实施。
我们仍然陷在网络安全技能短缺的困境中,许多最近的分析都得出了这一问题正在恶化的结论。组织正在花费更多的资金来寻找网络安全人才,但前提是他们能够找到。对人才资源的不满可能是CISO角色高流失率持续存在的原因之一。组织必须采取战略方法来建立一个有效的团队,包括团队的结构以及哪些技能可以最大程度地提高他们的安全形势。
如今,网络安全领导者面临着来自各个方向持续不断的不确定性。数字化加速计划扩大了攻击面,而网络犯罪分子在攻击的数量和复杂性上都有所提高。技术解决方案是组织对抗对手的一部分,但管理网络安全的专业人员更加重要。
网络安全组织结构和战略层可能还需要考虑和决策以下问题:
安全计划的结构和人员配备是否符合我们的风险承受能力?
安全计划是否以一种能够最大程度支持业务运营等战略层的方式进行构建?
安全计划是否促进员工的发展和成长,以便建立和维持人才储备?
我们的薪酬是否具有行业竞争力,或者是否是导致员工高流失的基本原因?
对人力资本的投资不足是否威胁到我们的业务目标?
我们应该在现在、明年和后年的年度安全计划中投资哪些方面?
我们的分析应当基于行业常用的框架,如国家标准与技术研究所(NIST)的国家网络安全教育倡议(NICE)、NIST的网络安全框架(CSF)和信息系统审计与控制协会(ISACA)的信息技术控制目标(COBIT)。这些框架提供了最佳实践和指南,可以帮助我们的组织制定全面有效的安全计划结构方法。
那些能够在网络安全方面取得成功的组织,是那些领导人在组织中树立了网络安全基调和节奏的组织,责任明确且赏罚分明。尤其是只要有机会,他们就会花时间阐述网络安全对于组织的重要性。
我认为领导者在其中的角色是自己教育自己,当然也能够激励他们的组织关注网络安全和信息安全。因为网络安全是组织中的一个永久职能,只有这样,每个人才会觉得他们可以参与这种对话。在安全方面,重要的是我们认为它不仅仅是负责人的角色,而是每个人的角色,每个人都有自己的角色要扮演,尤其是CXO级高管在网络安全方面有着非常特殊的定义。我经常会去请教那些要担任或已经担任CSO(首席安全官)角色的朋友们,他们的建议是要选择那些不需要安全人员推动议程,而是主动要求你提出建议的公司;无论是董事会还是CEO,并选择一个你可以建立这种关系和双向对话的角色。
网络安全是企业所要面对的最困难的事情之一。不断更新IT基础设施是非常昂贵的,而且对大规模员工进行教育也很困难,有时候可以说是劳民伤财。这些事情需要一个支持变革的企业文化,但这种变革有时会非常难受,因此,这种关系必须非常稳固。首席执行官、首席信息官、首席技术官,尤其是首席安全官,都需要对未来有共同的认识。
如果我们假设CXO级高管和中层管理者在对话和交流中拥有一部分责任,为文化树立基调和价值观,那么我认为在招聘时,你必须选择那些认同这种文化的员工。
这意味着要问不同类型的问题。领导者,尤其是在技术领域的领导者,他们如何看待技术和人的角色?记得超级CSO的一个导师说过:“对于我们要实施的每一个新安全策略,我们都要取消两个旧的策略。”这里的想法是树立一种文化,即“我们将在安全方面进行创新,而不是传统方式”。我认为,如果想试图在组织中树立这种文化,就必须有人以这种新颖和激进的方式思考,以使安全对公司中的每个人来说更容易一些。
确保IT基础设施现代化,并保持与时俱进。我们已经不再处于买一样东西,十年后它仍然有用的时代了。现在技术变化如此之快,每个迭代都会带来安全改进。使设备保持高可用性,并随时思考员工如何与这些技术互动。你将需要诸如双因素身份验证和完善的加密等措施。让目标计划真正指导你,但不要害怕推动技术的边界。
网络安全负责人应从整体角度看待网络安全,了解企业的业务需求和风险状况,制定相应的网络安全策略和计划。还应与其他部门负责人进行紧密合作,明确各部门在网络安全方面的责任和措施。能够熟练进行信息共享和沟通机制,及时传递网络安全相关信息,增强员工的安全意识和应对能力。企业提供全面的培训计划和资源,帮助员工提升网络安全知识和技能。
在招聘和配置人员时,要根据岗位需求和能力要求,匹配适当的人员。
同时应当建立跨部门的合作机制,促进信息共享和协同工作,不同部门的员工可以互相学习和配合,共同提升网络安全能力。通过绩效评估与激励,建立明确的绩效评估机制,将网络安全能力和责任履行纳入绩效考核体系。同时,通过激励措施,如奖励和晋升,激发员工的积极性和动力。再者,加强外部合作,与咨询方、专业的网络安全公司或顾问合作,获取专业知识和技术支持。这可以弥补组织内部的能力短板,提供专业的网络安全服务和建议。
我觉得首先要做的就是明确网络安全目标,制定明确的网络安全目标和战略,将其与企业的整体目标相匹配,确保每个人都了解和认同这些目标,并明确自己在其中的角色和责任。
组织为立,文化先行,营造积极的网络安全文化,强调网络安全的重要性和每个人的责任。通过教育和培训增强员工的安全意识,鼓励员工主动参与网络安全工作。定期评估和更新网络安全策略、控制措施和技术,及时适应新的威胁和风险。建立完善的反馈机制,包括安全报告、漏洞披露和事件响应,这些机制可以帮助我们发现和解决安全问题,并提供持续改进的机会。为网络安全工作提供足够的资源和支持,包括人力、技术和预算。其中最重要的就是确保网络安全团队有能力履行其职责,并及时采取必要的行动。
2023诸子笔会第二季
【11月主题:责任与能力】
【10月主题:目标与规划】
2023诸子笔会第一季
【总结】
投票 揭晓
【6月主题:读书会:我读过的闲杂书】
李彦斌 刘志诚 于利新 杨文斌 刘志诚 李玲
赵锐 刘顺 孙琦 刘志诚 王忠惠 陈圣 回顾
【5月主题:读书会:我读过的管理书】
杨文斌 刘志诚 于利新 孙琦 刘顺
李玲 王忠惠 李彦斌 陈圣 赵锐 回顾
【4月主题:读书会:我读过的专业书】
杨文斌 刘顺 于利新 刘志诚 孙琦
王忠惠 李玲 李彦斌 陈圣 赵锐 回顾
2022第二届诸子笔会
2021首届诸子笔会
原文始发于微信公众号(安在):诸子笔会2023 | 陈圣:网络安全管理中人的因素——责任和能力小议
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论