什么是网络安全治理?
网络安全治理是控制和指导组织的网络安全方法的方式。如果做得好,它将有效地协调组织的活动,如果做得不好,它将导致网络安全风险决策的制定不佳和延迟。良好的网络安全治理可以使网络安全信息和决策在整个组织内流动。
正如安全是组织内每个人的责任一样,安全决策也可以发生在各个级别。为了实现这一目标,组织的高级领导层应使用安全治理来列出他们准备让员工承担和不准备承担的安全风险类型。
哪种安全治理方法适合我?
不存在适用于每个组织的“一刀切”的治理方法。组织应建立适合自己的安全风险管理角色和决策流程(请记住,某些组织可能必须遵守强制性要求)。
无论任何预定的结构或流程如何,在以下情况下更有可能采用良好的方法来治理整个组织的风险管理:
- 该组织的业务目标、优先事项和对网络安全风险的偏好是明确的
- 明确识别组织关心的资产(或实现其业务目标的价值)
- 组织制定了使风险管理有效所需的措施
- 该组织明白,为了确保安全有效,它必须成为“一切照旧”的一部分
- 组织确定谁负责(和负责)技术系统的安全并做出有关其安全的决策(包括这些系统在整个系统生命周期中的持续安全)
- 该组织知道如何获取为有效和及时的网络安全决策提供信息所需的信息
当组织决定哪种治理方法适合他们时,考虑以下因素也可能会有所帮助:
- 组织如何在不同的业务、技术和决策环境中管理与技术相关的安全风险。
- 在管理与技术相关的安全风险时,哪些外部因素是相关的(例如法律、监管或特定部门)?
- 需要哪些业务流程来支持安全风险管理决策?
- 决策者需要哪些信息和文件才能做出及时、知情和客观的安全风险管理决策?
- 组织如何确保负责管理风险(并制定风险管理决策)的人员拥有正确的业务和安全技能、知识和培训?
- 组织如何让人们相信其管理风险的方法是有效的,以及其用于业务的系统足够安全以满足其需求?
- 组织将如何确保风险管理决策和行动的可追溯性和问责制?
- 组织将如何持续改进管理安全风险的方式?
您应该考虑您的组织面临的问题并决定适合您的方法。这很重要,因为采用治理流程本身并不能实现良好的安全性。安全治理行为不应脱离良好安全的日常运维。
例如,高级领导层仅仅声明“安全风险不可接受”是不够的。这样做将迫使低于此领导级别的人员仅根据个人知识和经验来承担风险,而不充分考虑组织的优先事项。
良好的网络安全治理是什么样的?
投资于风险管理,信任决策者
管理技术系统风险的管理方式应该与组织管理其他业务活动的方式没有什么不同。治理一词意味着组织主动对其面临的风险进行控制,并为其业务安全提供指导。有效的安全治理要求组织投资于风险管理资源并信任决策者,以便拥有合适的人员、结构和风险管理流程。这使得明智的风险管理决策能够实现组织的业务目标和目标。
代表决策
有效的网络安全风险管理建立在明智的决策之上。然而,虽然组织内的高级管理层(例如董事会)仍然对网络安全风险管理负责,但他们不一定需要做出所有风险管理决策。风险管理决策可以在组织的各个级别制定,并且可以委托给最了解问题的人员。决策者应拥有正确的安全、业务和技术知识(以及技能和经验),使他们能够在不同的业务环境中做出及时有效的风险管理决策。
为了使安全风险管理有效,重要的是在负责组织安全的人员和有权代表他们做出风险管理决策的人员之间建立清晰的沟通渠道。授权决策权时,授权范围必须明确。也就是说,他们应该了解何时需要升级决策以获得企业内部更高层的关注。
应对复杂性和不确定性
用于提供现代业务功能的技术系统可以被视为复杂的“社会技术”系统,技术、人员和业务流程之间存在交互。这种复杂性意味着有时可以了解并管理安全风险的原因和影响,有时则不能。
风险管理中的不确定性是不可避免的,因为决策者和从业者为安全决策提供信息所需的信息可能无法获得、未知或主观得出。这种不确定性因以下因素而加剧:
- 参与风险分析、评估和决策过程的人员的偏见
- 现有风险管理技能和经验的局限性
- 方法和工具及其使用方式的局限性
这种复杂性和不确定性并不意味着组织无法采取任何措施来管理安全风险。相反,负责决策的人需要:
- 了解他们所使用的方法、途径和工具的局限性
- 了解在某些情况下可以通过实施预定义的安全控制和方法来管理风险,而在某些情况下则无法通过实施预定义的安全控制和方法来管理风险
- 采用不同的策略在不同的情况下做出明智的安全风险管理决策
发展有效的文化和环境
有效的安全文化和环境还将帮助组织应对与我们今天使用和依赖的系统和服务相关的不可避免的复杂性和不确定性。可以通过以下方式鼓励适当的安全文化和环境:
- 确保参与安全风险管理决策的每个人都了解实现目标和维护业务优先级比遵守通用的预定清单更重要
- 雇用具有网络安全、业务和风险管理技能以及提供信息、制定和实现有效决策所需的知识和专业知识的人员
- 信任并授权这些人做出风险管理决策
- 将程序和文件工作量降至最低,仅达到及时有效决策所必需的程度
- 通过应用良好的安全设计原则,将风险管理纳入正常业务以及设计和开发生命周期中,因此它被视为一项与其他风险管理方式一致的持续活动(而不是一次性行动)
- 使负责制定风险管理决策的人员能够轻松访问(并理解)他们所需的信息
- 减少信息被误解、削弱或以任何引入不确定性和偏见的方式阐述的机会
- 接受技术和安全风险将会发生的事实,并了解组织将采取哪些措施来最大程度地减少损害、继续运营并根据吸取的经验教训进行改进
- 确保负责安全的人员、负责制定风险管理决策的人员以及负责开展风险管理活动的人员之间的沟通清晰且有意义,以便能够根据信息正确有效地采取行动
有效传达风险管理信息
风险管理信息的有效沟通有助于组织指导和控制风险管理活动。为了使这种沟通有效,组织必须建立内部和外部渠道来与员工、业务合作伙伴和客户进行沟通。当组织内部的沟通在组织的正确层级之间进行时,沟通是最有效的:自上而下、自下而上和横向:
- 自上而下的沟通为决策者提供公司方向和业务目标
- 自下而上和横向沟通提供详细的技术、非技术和安全信息,为风险管理决策提供信息
内部沟通时,这些信息至少应包括:
- 业务目标、优先事项和风险管理方向
- 组织关心什么以及为什么
- 组织将(和不会)承担哪些风险
- 谁负责制定风险管理决策
当与第三方进行外部沟通时,这些信息至少应包括:
- 风险管理和决策背景
- 需要保护什么以及为什么
- 如果受保护资产的安全依赖于另一方,那么组织希望该方采取什么措施来保护它?(例如合同中的安全条款、程序或安全要求)
- 如果第三方为组织关心的事物提供安全性,组织如何获得第三方正在按预期提供安全性的信心?
为了以清晰且有意义的方式传达风险管理信息,组织应使用简单的英语和众所周知的业务、技术和安全术语。应避免使用定制的风险管理语言或专业术语。
人们通常认为,由于组织使用通用的风险评估(或风险管理)方法,因此他们将能够使用生成的风险信息(例如顺序风险或影响级别或标签)作为速记方式将信息传达给风险管理决策者和业务合作伙伴。如果没有就风险管理信息的含义达成一致,这个假设是不正确的。人们和组织会根据个人和群体的偏见、经验、知识和优先事项来解释或误解风险相关信息。如果提供的风险管理信息没有含义、解释或上下文,则尤其如此。
与任何其他关系一样,各方之间的信任建立在良好的沟通基础上,使各方能够理解他人的价值,并就风险管理信息和风险评估输出的具体含义达成一致。这种理解将使组织能够信任其他人向他们提供的风险管理信息,并充满信心地使用技术系统和服务。