避免四個(gè)誤區，在中國落地切實(shí)可行的安全管理體系

安全管理體系是一個(gè)復雜的生態(tài)系統，定義了企業(yè)的關(guān)鍵信息、安全原則、資源和活動(dòng)（見(jiàn)圖1）。企業(yè)機構所構建和運行的安全體系往往難以既對員工實(shí)用，又能有效管理快速發(fā)展的數字風(fēng)險。因此，首席信息官（CIO）必須了解并避免陷入誤區，構建強韌的安全體系，應對中國數字業(yè)務(wù)面臨的網(wǎng)絡(luò )安全挑戰。CIO及其安全對團在構建切實(shí)可行的安全體系時(shí)，容易陷入四個(gè)常見(jiàn)誤區。這些誤區包括：

·       設定不切實(shí)際的目標，希望抵御所有攻擊

·       安全策略引發(fā)摩擦的同時(shí)并未有效降低風(fēng)險

·       高層匯報溝通時(shí)，傳遞過(guò)多未與業(yè)務(wù)掛鉤的安全技術(shù)運營(yíng)層面的信息

·       采用傳統的中心化方法來(lái)支持分布式風(fēng)險決策，這種方法在應對敏捷數字項目時(shí)無(wú)法有效擴展

圖1：安全管理體系的組成

誤區1：設定不切實(shí)際的目標，希望抵御所有攻擊

在當今的數字化環(huán)境和威脅環(huán)境中，企業(yè)機構要設定一個(gè)旨在遏制所有攻擊的安全目標是既不現實(shí)，也不合適的。目前不存在完美的防護機制，在多邊的業(yè)務(wù)和風(fēng)險環(huán)境中，企業(yè)機構應在防護措施與業(yè)務(wù)運營(yíng)需求之間取得平衡。這種平衡需要與業(yè)務(wù)領(lǐng)導者進(jìn)行討論和決定，而不是由IT部門(mén)單獨決定（見(jiàn)圖2）。

圖2：安全是一種選擇：何為適度風(fēng)險？

當高管詢(xún)問(wèn)“我們能否達到百分之百安全”時(shí)，CIO及其安全團隊應將談話(huà)引向對風(fēng)險的討論。投入大量資金來(lái)預防對業(yè)務(wù)影響較小的安全事件，并不符合成本效益。企業(yè)機構應明確可能影響業(yè)務(wù)戰略目標和績(jì)效實(shí)現的安全風(fēng)險，并定義風(fēng)險控制衡量指標。在業(yè)務(wù)目標、影響業(yè)務(wù)成功的安全風(fēng)險和跟蹤指標之間建立明確聯(lián)系，這一點(diǎn)至關(guān)重要。

誤區2：安全策略引發(fā)摩擦但并未降低安全風(fēng)險

安全策略的根本目的是通過(guò)識別、評估和控制風(fēng)險，鼓勵促進(jìn)安全的行為，阻止不利行為。盡管如此，員工可能發(fā)現安全團隊獨立制定的一些策略難以遵守，對其角色而言并不合理，并且與其工作目標相沖突。因此，員工會(huì )選擇忽略這些策略，繼續采取不安全的行為。

2022年Gartner安全行為驅動(dòng)因素調研發(fā)現，過(guò)去12個(gè)月中有69%的員工有意繞過(guò)企業(yè)機構的網(wǎng)絡(luò )安全策略。此外，74%的受訪(fǎng)者表示，如果有助于個(gè)人或團隊實(shí)現業(yè)務(wù)目標（例如，再即將到來(lái)的截止日期前完成任務(wù)和/或完成營(yíng)收目標），則會(huì )選擇繞開(kāi)網(wǎng)絡(luò )安全策略。這種對安全策略的漠視產(chǎn)生的原因往往是由于安全因素引發(fā)的摩擦阻礙了員工高效開(kāi)展工作。

為了避免陷入這一誤區，企業(yè)應使用基于場(chǎng)景的方法進(jìn)行測試，確保策略切實(shí)可行。再工作人員面對的許多實(shí)際場(chǎng)景中測試安全策略，并確定該策略是否為這些場(chǎng)景提供支持或造成妨礙。同時(shí)，可以考慮開(kāi)發(fā)用戶(hù)手冊，使用通俗易懂的業(yè)務(wù)語(yǔ)言，而非專(zhuān)業(yè)術(shù)語(yǔ)來(lái)解釋所有這些常見(jiàn)場(chǎng)景的安全要求。最后，發(fā)現、理解并解決員工所經(jīng)歷的摩擦。

誤區3：傳遞的信息無(wú)法引起利益相關(guān)者的共鳴

安全治理是指確保采取合理、適當的行動(dòng)，以最有效、 最高效的方式保護企業(yè)機構的信息資源，以實(shí)現其業(yè)務(wù)目標的流程和能力。由于CEO越來(lái)越重視安全事件和違規行為導致的業(yè)務(wù)損失，媒體的相關(guān)報道也越來(lái)越多，很多中國大型企業(yè)機構已經(jīng)設立了企業(yè)級的安全委員會(huì )作為治理機構。

盡管委員會(huì )是由來(lái)自整個(gè)企業(yè)的業(yè)務(wù)和職能部門(mén)的高管組成，但安全議程和相關(guān)主題的溝通仍主要以合規為導向或以IT為中心。這就無(wú)法有效展示安全投資對于業(yè)務(wù)成果的價(jià)值和相關(guān)性，無(wú)法引起CEO和業(yè)務(wù)高管的更多共鳴。

為避免這一誤區，CIO及安全團隊應該闡述與業(yè)務(wù)成果相關(guān)的安全風(fēng)險，不僅限于合規，這將更好地引起CEO和委員會(huì )業(yè)務(wù)成員的共鳴。同時(shí)，了解溝通背景，選擇合適的價(jià)值溝通方式。

誤區4：采用的中心化風(fēng)險決策方法無(wú)法支持敏捷數字項目

由于業(yè)務(wù)部門(mén)更多地雇傭自己的數字化技術(shù)人員，而不是完全依賴(lài)企業(yè)的IT人員，企業(yè)機構的安全和風(fēng)險決策日益分散。此外，在中國競爭激烈的數字化環(huán)境中，企業(yè)機構越來(lái)越多地采用敏捷或DevOps的全新IT方法，加速數字業(yè)務(wù)的交付。這反過(guò)來(lái)也增加了快速做出風(fēng)險決策的壓力。企業(yè)機構如果仍依賴(lài)傳統的單一中心化安全團隊來(lái)開(kāi)展風(fēng)險決策工作，將很難招聘到足夠的安全人才，以應對企業(yè)機構內部快速增加的分布式風(fēng)險決策的數量以及決策速度的要求。此外，分散決策的機會(huì )成本很快會(huì )超過(guò)其增加的價(jià)值。

為避免陷入這一誤區，CIO應培養企業(yè)所有員工的網(wǎng)絡(luò )判斷力，滿(mǎn)足敏捷數字項目風(fēng)險決策的數量和速度要求，這將大大減少整個(gè)企業(yè)機構的網(wǎng)絡(luò )風(fēng)險暴露。此外，由于網(wǎng)絡(luò )判斷力并不要求安全人員全程參與以做出風(fēng)險決策，節省下來(lái)的安全人力資源可以重新分配，用于更具影響力的網(wǎng)絡(luò )安全活動(dòng)中。