一直以来,许多企业和安全顾问比较认可的一个安全解决方案就是合规,符合标准规定至少在某种程度上就意味着安全。
但有人认为,应该把两者看做并列关系,而不是因果关系。或说两者是互相影响的关系,安全可以有助于合规,合规可以是安全的副产品,但安全并不能自动成为合规的副产品。因为有时完全在合规的情况下,也可以是不安全的。
合规是为了让企业达到一个既定的标准,表面上给了客户或股东一个满足整套安全标准的样子,其实是把每个人都拖到了一个最小的安全级别。不信就看看最近发生的 一些严重安全事件,无论是摩根大通还是塔吉特、家得宝,索尼影业,他们不都是宣称自己企业的安全机制是合规的吗?很明显,这些案例中,要么有些人在撒谎, 要么所谓的“合规”实际上是不合规的。
合规的问题在哪里?
对 于推动合规的咨询顾问和培训认证行业来说,如何平衡企业的业务需求和安全机制是一个两难的问题。这些行业是依靠帮助企业合规或说达标以获得收入,因此当企业为了其业务需求或是成本控制,需要某种程度上的妥协时,安全隐患自此产生。同样,风险控制管理、独立的第三方审计和评估等工作,都有可能出现类似的情 形。
比如PCI标准规定在线金融服务需要通过ASV厂商(经认证的扫描厂商)执行互联网环境的脆弱性扫描,但实际上在认证的扫描厂商名单上,全是付了钱并证明自己符合扫描标准的厂商。市场虽然很大,但厂商就这几家。
这并不是在说所有的顾问公司都只想着拿到支票,而不管客户的真实合规情况。但表面上通过合规,却在实际审计中表现的惨不忍睹的企业并不少见。出现这种情况,要么是这些企业向顾问撒谎,要么就是顾问自己在撒谎。无论是哪种情况,安全问题没有解决,最后吃亏的还是企业。
为什么合规不等于安全?
年度的合规审查是一个不错的矫正问题的机会,但即使配备了外部的独立审计,企业在平时也不能对内部真正的合规状态掉以轻心。
大型企业在一周内就可能会有许多业务、管理方面的调整,年度的合规审计远不能满足动态的变化需求。把过去取得的静态的合规认证,当作目前的合规状态是愚蠢的。因此,要经常性的检查内部的工作变化,并跟踪最新的合规标准。
顾问的水准也是动态变化的,审计队伍中经常会看到没有几年经验的年轻毕业生在执行一般标准的审计。这是因为,顾问公司是要经营并赢利的,雇佣年轻的毕业生并训练他们(一般都是相对基础的技能),意味着人力成本的降低。
普通的顾问仅仅为了通过合规而工作,他们只想让客户签字确认然后进行下一项工作。资深顾问则会绝对确保企业满足标准,然后才会继续。高级顾问则要确保企业超出合规标准,才算完成工作。
标准本身的问题
大多数合规标准允许限制合规范围。比如,PCI把CDE(卡数据环境)和ISO27001作为合规标准范围。这样做的结果只是向第三方证明了你的合规,而不 是考虑整个环境的安全。PCI只关心支付卡的数据安全,并没有考虑其他(这也可以理解,毕竟是支付行业写的标准)。但问题在于,使用PCI合规标准的企业 并不是安全的。因为PCI合规只意味着企业对支付卡的数据处理和存储是安全的,它并不负责企业客户的其他数据安全。
理论与现实的脱节就此发生。如果企业一个较不重要的网络被黑客入侵,那么即使保存在安全环境下的CDE中的数据,也最终会被黑客访问到。
标准并不奖励过分合规。大多数标准只是通过和不通过,你要么合规要么不合规。这也就意味着,企业往往只想符合最低的标准。而且标准的设计一定是大部分企业可以达到的,过高的话,人们要么不去遵守要么干脆撒谎。标准的到底应该定高还是定低一些的争论一直就没有停止过。
合规通常还被当作是对安全投入的回馈,企业在安全上花了钱,自然想得到一个认证标志,毕竟董事会需要知道他们的钱没有打水漂。可实际上,这些投入仅仅是满足 了合规标准,并不意味着安全得到了真正的改善。当然,把钱投入到纯粹的安全环境上可以增加安全,但这一点很难展示给安全部门之外的人,更不用说企业的管理 者和投资者了,他们最想看到的是投入所带来的有形的价值。
结论
现在问题来了,合规不利于安全吗?
当然不是这样。上文所表达的意思是:“为了合规而合规”对提高安全性的意义不大,合规不等于安全。但合规可以作为一个框架来帮助人们理解安全,指导安全工作。
点评
什么程度才是安全?这个问题太难有一致的答案。因此为了较好达成一致,合规方法有所帮助。当然,如果仅把合规作为唯一衡量准则,当然不利于安全。
合 规和安全就想体检报告和身体健康程度,不能说体检合格就肯定健康,相信一个没得过重病的人也不一定体检合格。企业安全是保障,投入就是成本,在不同行业不 同时期安全要考虑的是不一样的,是一个常态化的过程,不是无限的投入就是好,也不是合规了就是好,从上到下要理解、支持,并要找一个平衡,从措施的有效性 来衡量。
最后,为了合规而合规是无法保障安全的,必须把合规工作作为安全的起点,不断把技术和管理落到实处,并不断提升员工安全意识,才能保障长期的安全。CS论坛
关注网络空间安全(Cyber Security),解读趋势前瞻,聚焦管理策略、体系指引,为企业、机构安全规划与实施提供咨询建议。