創(chuàng)建規(guī)則遵從文化 促進(jìn)信息安全合規(guī)管理和風(fēng)險(xiǎn)管理
很多時(shí)候,在考慮建立或者擴(kuò)大信息安全性并報(bào)告給高級(jí)管理層時(shí),我們面臨的最大挑戰(zhàn)不是技術(shù)上的,而是文化上的。
業(yè)務(wù)經(jīng)理猶豫是否應(yīng)該突出有風(fēng)險(xiǎn)的領(lǐng)域,因?yàn)樗麄儞?dān)心會(huì)被人認(rèn)為沒有盡忠職守。律師擔(dān)心在文件中出現(xiàn)漏洞,因?yàn)槟承┞┒醋罱K會(huì)對(duì)組織不利。有時(shí),經(jīng)理們不愿意對(duì)公司高層講的太多,雖然其中確實(shí)可能存在很大的風(fēng)險(xiǎn),但是他們擔(dān)心高層不能完全理解這些信息,只會(huì)再提出一些無(wú)理的要求。
這就是我們作為安全和規(guī)則遵從管理人員所面臨的現(xiàn)狀。如果成熟的公司想全局把握信息安全的風(fēng)險(xiǎn)和規(guī)則遵從,這些問題都是必須首先要解決的。
與許多人所認(rèn)為的相反,在尋求解決安全和規(guī)則遵從的弱點(diǎn)時(shí),知識(shí)就是力量,且保持良好的透明度是一件好事。不過,要成功的跨越文化障礙,從而有效地報(bào)告信息安全狀況,是需要策略的。一些經(jīng)過時(shí)間考驗(yàn)的解決方案,它們可以用來解決這些阻礙有效管理信息安全風(fēng)險(xiǎn)及規(guī)則遵從的文化障礙。
培養(yǎng)規(guī)則遵從文化的幾個(gè)建議:
使用直白的語(yǔ)言——毫無(wú)疑問,在信息安全報(bào)告中決定成敗的最重要因素是語(yǔ)言。簡(jiǎn)單地說,任何報(bào)告(無(wú)論是在記分卡或敘述)必須只限制使用基本的業(yè)務(wù)術(shù)語(yǔ)。不要使用IT術(shù)語(yǔ),不使用任何模糊的縮寫,不要出現(xiàn)特例。一個(gè)IDS系統(tǒng)或其他網(wǎng)關(guān)設(shè)備可能有一份很好的20頁(yè)的詳細(xì)技術(shù)報(bào)告,雖然可能對(duì)技術(shù)人員有幫助,但它們不應(yīng)該出現(xiàn)在提供給高管們閱讀的報(bào)告中。相反,應(yīng)該要求寫這些報(bào)告的人去總結(jié)這些數(shù)據(jù),使用盡可能簡(jiǎn)潔的語(yǔ)言,以便讓不熟悉該項(xiàng)技術(shù)的人也能理解。
公開是安全的——第二大重要的因素是營(yíng)造一種環(huán)境,讓人在這種環(huán)境下意識(shí)到公開是安全的。這意味著人們被允許表達(dá)他們所觀察到的潛在危險(xiǎn)和操作失敗而不會(huì)受到懲罰,管理人員應(yīng)該在條件允許時(shí)營(yíng)造這樣的環(huán)境。對(duì)于觀察到的風(fēng)險(xiǎn),重點(diǎn)必須放在風(fēng)險(xiǎn)評(píng)估及應(yīng)對(duì)方案分析。對(duì)于操作失敗,報(bào)告重點(diǎn)應(yīng)放在
1)發(fā)生了什么事情,
2)應(yīng)該對(duì)其做什么,
3)怎么樣使它不再發(fā)生。
責(zé)怪是合作的死敵,因此任何紀(jì)律處分,必須私下進(jìn)行。一旦人們開始意識(shí)到風(fēng)險(xiǎn)和失敗都可以提出來進(jìn)行合理、健康的討論時(shí),越來越多的風(fēng)險(xiǎn)就會(huì)突然被人們注意到。
重點(diǎn)放在解決方法上——簡(jiǎn)單地說,要確保向管理層匯報(bào)任何重大的風(fēng)險(xiǎn),應(yīng)該包括了對(duì)該風(fēng)險(xiǎn)有一個(gè)管理層水平的評(píng)估和一個(gè)行動(dòng)計(jì)劃(或至少提供一些選項(xiàng))。過分強(qiáng)調(diào)風(fēng)險(xiǎn)本身并不能解決問題,還經(jīng)常給人沒有做好份內(nèi)工作的感覺。但是,提出風(fēng)險(xiǎn)的同時(shí)順帶一系列的解決方案,會(huì)強(qiáng)化一個(gè)事實(shí):這個(gè)人有在做事。
讓他們做決定——當(dāng)提供關(guān)于信息安全計(jì)劃的遵從規(guī)則的內(nèi)容時(shí),除了讓管理層了解情況,還應(yīng)該給予他們做決定的機(jī)會(huì)。即使這意味著對(duì)于某一關(guān)注的領(lǐng)域只是簡(jiǎn)單地提供了一些選擇,這也利于讓他們參與進(jìn)來,并引起重視。這看上去存在風(fēng)險(xiǎn)(試想誰(shuí)真的指望“禿頭老板”能做出實(shí)質(zhì)性的決定?),但是當(dāng)風(fēng)險(xiǎn)被解釋清楚、選擇范圍也明確時(shí),老板們也愿意參與進(jìn)來。 相信我,參與真的是一件很好的事。
從小事做起——事實(shí)上,很多企業(yè)無(wú)法從零一步建立很詳細(xì)的計(jì)分卡,這也從未發(fā)生過。從小事做起是專注更多的可以使管理人員采取行動(dòng)的無(wú)害基準(zhǔn)點(diǎn)(data point)(如,培訓(xùn)結(jié)束,第三方管理等)。隨著管理層逐漸熟悉報(bào)告的模式和周期,他們會(huì)把注意點(diǎn)轉(zhuǎn)移到更敏感的話題,比如公開審計(jì)問題、控制失誤、操作事故和風(fēng)險(xiǎn)熱圖(heat map)等(后者更直接的和具體業(yè)務(wù)領(lǐng)域相關(guān))。
最后,我們的目標(biāo)是通過對(duì)話和接觸來建立一個(gè)規(guī)則遵從文化。從小事做起,保持格外清晰,保持緊迫。最終,人們會(huì)發(fā)現(xiàn)這些建議比想象中的友善,進(jìn)而會(huì)進(jìn)行反思,并建立論壇用來討論一系列對(duì)公司有益的問題,最終建立起可以更好為企業(yè)服務(wù)的規(guī)則遵從文化。
【編輯推薦】