本篇是好友吕毅先生赐稿,文章立意高远、内涵丰富,深入剖析了组织IT和安全战略的关系,提出了安全战略做什么,怎么做,路线图等实践思路,对企业安全建设负责人做好信息安全战略规划和建设整体框架提供了非常好的案例和实践,强烈推荐。
吕毅,目前就职于中国人民银行金融信息中心信息安全部,分别在人行科技司、香港金管局交流工作,高工,CISSP、CISP、信息系统项目管理师(高级),三次获得银行科技发展进步奖。17年信息系统管理及安全建设运维实践经验,长期开展安全管理及一线运维,目前从事信息安全运营、应急响应及互联网攻防。撰写《从信息安全运维向信息安全运营进化的探讨》(计算机工程与应用)、《基于攻击视角完善信息安全弹性防御体系的思考》(《金融电子化》)、谈银行业网络安全人才观(中国信息安全)等多篇文章。
国家领导人在419讲中提到“从社会发展史看,人类经历了农业革命、工业革命,正在经历信息革命”。安全的发展史也是如此,从农业社会的人身安全,工业社会的生产安全到信息化社会的网络安全,逐步演进。
以网络安全为例,在信息革命过程中已经历通讯安全、操作系统安全、系统安全、网络安全四阶段,网络和信息安全(以下简称信息安全)的内涵和外延不断扩展,从自我保护逐渐演进至对抗和赋能。
依据职责和防护重点不同,我国信息安全从组织概念可分国家、社会、企业三层。就像军队保卫国家、公安保障社会、保安守护企业一样,国家有国家力量保障网际空间安全、社会有公安网信保障社会网络安全,企业则有安全团队为主保障企业信息安全。要做好工作,就要理论联系实践,理顺治理体系、高效坚定执行。在信息安全治理中,国家和社会层面有相应的立法做制度保障(宪法,刑法、网络安全法),有相应机构设置进行执行落地,网信办、公安部各司其职,其治理结构服务于我国国家安全战略。认知所限,此处我们尝试探讨企业层面信息安全治理和战略落地。
一、治理和战略
1.1 治理的内涵和作用
治理一词源远流长,2000多年前我国“明分职,序事业,材技官能,莫不治理”中的治理偏向于规则制定(《荀子·君道》),而国外“治理”(Governance)的来源一说是从古希腊语“引领导航”(steering)中来,意为方向指引。
自20世纪90年代开始,国内学术界对治理概念及应用展开了大讨论,目前共识普遍趋向1995年全球治理委员会的定义,即治理是在相互冲突或不同的利益中进行调和并且采取联合行动的持续的过程,其关键词有二,一是利益协调,二是持续行动。照此理论,可将治理特征分解为四是四非:是过程而非程序,是协调而非控制,是公私兼顾而非仅公共服务,是持续互动而非制度强制。
一般而言,探讨IT治理时会同时提到GRC,即治理(Governance)、风险(Rsik)、控制(Compliance)。三者的关系描述虽各有说法,但普遍认为治理是一种过程和方法,而不是一种结果,其是对风险和控制行为的均衡以期达到利益相关方的共同目标。
麻省理工斯隆管理学院信息系统研究中心(MIT Sloan School of Management Center for Information SystemsResearch)彼得·维尔(Peter Weill)在其《IT治理》(人大信息学院杨波教授译著)一书中认为IT治理最关心的问题就是三个,谁来决策,决策什么,怎么执行,IT治理的边界就是顶层设计而非管理执行。
与此同时,国际信息系统审计协会(ISACA)则将治理和管理以及控制项进行了对应尝试,强调治理就是对管理的管理,目标是通过IT治理创造价值,从而将治理的范围部分扩大到管理。ISACA推出的信息及相关技术的控制目标(COBIT5)则从信息系统战略、战术、运营层面给出了对IT的评测、量度和审计方法。
国内信息安全治理理论跟随IT治理理论发展,早期以咨询公司为主,目前先进的安全治理理念则主要是来自头部用户的最佳实践。
平安科技陈建先生在2018ISC大会上曾谈到信息安全工作中GRC(治理、风险、控制)的关系,提出了风险管理模型。该模型以风险为核心,通过合规、安全技术实现内控目标。三部分的逻辑关系中:风险是治理的基础(此处风险指企业面临的内外部风险并非特指IT风险),在整体工作中以风险为指引。具体工作中,合规是基础,金融企业最重要的资源就是声誉和牌照,面临的内外部监管要求是合规的基线,也是硬性要求。一方面,以合规为把手,合规是安全的输入,是强制选项,将监管要求和业务合规需求转换为安全技术IT语言和工具来实现,合规是安全建设刚需,也是信息安全开展的起点,安全做好了也会增强企业内控能力。另一方面,以合规为基础,不断提高内控能力,内控是在风险思维指导下的整体风险控制,其包括整体信誉、企业盈利等方面。
概念太抽象,此处尝试借用信息系统项目管理师马军老师关于团队管理和团队建设区别的比喻来类比一下治理和管理,如果说团队管理(对应管理)的目标是实现绩效从80%到95%的提高,那么团队建设(对应治理)就是实现绩效从100%向150%的提高。
管理是设计方法低头拉车,盯的是执行的效率颗粒度,目标是活着;而治理则抬头看路,考虑的是明天该怎么走,目标是活好。
虽然治理概念比较高大上,是协调、框架、协调利益,但真正让各方达成相对一致,实非易事。如同南怀瑾先生引用的民谣“作天难作四月天,蚕要温和麦要寒。行人望晴农望雨,采桑娘子望阴天”。其本质源于不同利益主体期待目标差异,用什么将团队凝聚组织起来,就需要有愿景、目标和线路图于是就出现了战略。
1.2 战略说什么
谈到治理,无法避开战略,下面探讨一下战略和治理的差异。
典型的治理三问包括谁决策、决策什么、怎么执行,其内容类似于我们工作中的三定,定编、定职、定岗。战略就是三定后要开展工作时依据的规划、纲要、路线。
《易经·系辞》中“形而上者谓之道,形而下者谓之器”,道对应的就是战略。没有明确的因果关系,可大体将战略规划看成治理结构的产出,而战略方向又会影响治理结构。
企业架构中战略、战术、执行三个阶段可以模糊对应为治理、管理、运营,又可理解为传统文化中的道、术、器,对应关系在部分语义环境下可通用。但一般来说,治理关注组织架构,战略则更偏重规划。
如同哲学三问(你是谁,从哪儿来,到哪儿去)和治理三问(谁决策、决策什么、怎么执行),战略也有三要素,分别是愿景、使命、目标,从而形成战略规划。
“不谋万世者,不足谋一时;不谋全局者,不足谋一域。”战略是一种整体规划而非头疼医头。19世纪《战争论》作者克劳塞维茨对战略的定义为:“为了达到战争的目的,对战斗的运用就是战略。”其将战略要素分为精神要素、物质要素、数学要素、地理要素和统计要素五类。其中精神要素并定义为最重要的因素之一,这就是战略中的愿景。
引用网络公开资料,以某电商为例,愿景是描绘组遵循使命并成功场景目标,譬如“一个工作、生活连接起来的生态系统”;使命是组织做事情的理由,定义为什么这么做,譬如说“让天下没有难做的生意”;价值观是完成使命和实现愿景过程中的指导原则,譬如“诚实”。简单说,使命是理由,愿景是目标,战略是方法,价值观是行动的原则,而战略就是组织采取怎样的方法来完成其使命和达成愿景。(图片及部分内容来自“晓谈岩说”公众号,引用自BMGovernace公司)。
以房屋装修来对治理和战略做一个不太恰当但容易理解的例子。治理关心决策主体(谁参与意见,谁出钱,重点是谁说了算),决策内容(自装还是外包、地板还是瓷砖、争执解决靠嗓门还是力量),如何执行(工期、验收标准),重在确定责权利。开工前要有个战略规划,愿景是什么(PS效果图),目标是什么(老婆孩子都要兼顾),原则是什么(实用、美观、经济),重在统一思想。听谁的和怎么干说不好,房屋装修中超预算、吵架乃至夫妻反目难以避免。一般来说,为了顺利过渡,治理相对虚一些,主体决策需要让渡给家里掌权者(女士),战略规划相对明确(男士),考虑持续性和适用性。如若不然,一次装修就是一次人性的拷问,那种感觉,经过都懂。
二、战略怎么做
信息安全是IT工作的保障和底线,考虑信息安全战略,首先要考虑IT战略,而IT战略又和企业战略(业务目标)密不可分,关于企业战略和IT战略的关系,已经有比较深入的研究,大体的关系是企业战略决定IT战略,安全战略服务于IT和企业战略。
但是我们在做信息安全战略时,遇到的最大问题是做的业务不理解,IT不理会。那么,问题在哪里呢?
2.1 业务目标、IT目标和安全目标冲突
安全战略是安全治理的产出,也是具体实施的指引,如何确定有效的安全战略是个技术活儿。大型组织多目标差异、社会分工细化后语言体系专业性和价值认知差异导致业务目标和IT目标,就像女人和男人一样难以沟通。
业务部门搞不懂IT在做什么,要个宝马給个夏利,业务谈需求,IT谈代码,鸡同鸭讲。IT觉得业务部门那些需求脑路清奇,不能不满足又没法全满足,搞一堆零七八碎的小萝卜头,脑路清奇的觉得自己的系统是唯一的,特殊的,不能整合的,搞了好多烟囱,但由于其业务盈利属性屡屡能成功说服高层。时间长了,科技部门失去了IT主导权,不主动,不拒绝,不负责,实际上是一种不担当。
实际上,业务和IT价值观不一样,如同谈钱伤感情,谈感情伤钱。谁都没有错,谁都以为明白对方并从自己角度认为是为对方好,就效果差点劲,就这样嫌弃而又苟且的搭帮过日子;其实更尴尬的是安全,帮着业务找逻辑漏洞,配合IT运维做安全合规,在业务和IT同学眼中成为阻挡者和多事儿的,他们的共同乐趣是吃饭睡觉怼安全。这种情况就像业主交物业费一样,因为物业不好,业主不交物业费并羡慕邻居高端物业,而物业因为没有保护费和信任也失去了改进服务的动力,如此循环。电影《星际穿越》中再次提到了墨菲定律,如果事情有变坏的可能,不管这种可能性有多小,它总会发生。也如同《时间简史》中间提到的热力学熵增定律,在不增加持续改进的力量,事物发展必然是一个自发的由有序向无序发展的过程。
2014年4月25日,微软宣布对诺基亚的收购正式完成。次日一早,诺基亚位于芬兰的总部大楼就正式换上了“Microsoft”的标志。时任CEO约玛奥利拉说“我们并没有做错什么,但不知为什么我们输了”。彼得格鲁克谈到“比起正确的做事,做正确的事情更重要”,实际上,如果方向错了,努力只会离梦想越来越远。
2.2 战略路线选择
战略经常涉及三个问题,分别是愿景、使命、目标。战略是实现全局目标的规划(道),而战术是实现战略的管理手段(术),执行是战术的运营和反馈(器)。在多方博弈、共赢、冲突、共存中,靠单一发展带来的红利已基本消失殆尽,改革进入深水区,实现战略目标,往往要牺牲部分利益,去获得战略胜利,唯有壮士断腕的勇气,刮骨疗毒,才有可能不断前行。如同《集结号》中的牺牲换来的战略撤退,就像BAT基于成本和业务压力去IOE,业务中台化。
常立志不如立长志。战略的规划、制定和实现需要在一段比较长的时间保持稳定,期间会微调,但不会有方向性改变(经常调整的叫做“空调”),治大国如烹小鲜,多搅易烂,一般要坚持3-5年甚至更长时间。
管理大师迈克尔·波特认为,战略的本质是抉择、权衡和各适其位。基辛格《论中国》一书中对抗战时期到21世纪初我国外交策略进行描述,随着战略方向调整,利益协调和牺牲本也是应有之意,在上世纪60年代,全国人勒紧裤腰带投入28亿研发原子弹,从而解决当时的国际地缘政治困局,这就是战略。
举例来说,企业战略是合规履职,实现核心业务盈利,或达到社会效益;那信息化的战略是通过科技技术和手段支撑单位合规履职,保障某某盈利目标;而信息安全的战略则更具体,譬如通过安全保障做到数据中心(开发中心)网络、系统、数据平稳运营,实现CIA三性,保障信息化战略,从而逐步细化,逐步分解。平安科技陈建先生在2018ISC大会对三层战略进行了梳理,逐步细化,层层依存(如图)。
企业、IT、安全战略形成一致的重点在于,要用三方都听得懂的语言进行沟通,保障各利益相关方利益一致(注意,利益一致不代表绝对正确),利益一致代表着互相的谅解和支持。
是做一个理论正确的战略还是质朴正确的战略,考验的是管理层水平,在资源有限的情况下,战略的难点不在于要做什么,而是先做什么和不做什么,只有把后面两个问题回答清楚了,认清自我,实话实说,战略才能有针对性。
信息安全治理就是这样一个过程,定战略,搞管理,做监控,技术落地,反馈改进。
三、信息安全战略制定误区
在战略制定中,经常会遇到无法落地或者定位不准,举例来说:有人说战略就要入脑入心、如影随形,像《流浪地球》中“道路千万条,安全第一条,司机一滴酒,亲人两行泪”一样,或者乡村标语中“要想富,早修路,少生孩子多种树”,以情动人,简洁优雅。但,这是战术口号,不是战略。就像ISO27000中的文档标准一样,战略属于一级文档,标准政策属于二级文档,守则规则属于三级文档,表格记录为四级文档。口号是三级文档。
以信息安全为例,安全做不好,无外乎战略不清,架构不明,执行不细,语言不通,首当其冲,还是战略不清。
3.1 安全战略定位判断不清
虽有各类战略规划方法,但形成战略规划一定是定制的,各不相同,方法是舟,过河弃舟,但无舟也过不了河。具体情况下,IT技术虽有共性,但单位业务千差万别。举例来说,当单位IT是数据中心时,安全要关心的更应该是数据泄露,加密,访问控制。当定位开发中心时,安全关心的是开发生命周期(SDL),三同步,安全编码,安全测试。当单位定位是运营中心时,安全关心更多的是安全事件,态势,攻防对抗。同时,也和单位IT发展成熟度相关,安全也需要根据成熟度进行规划,忽视单位业务重点,一上来就用一套大而全并且看似理论正确的体系,在基础设施都没有建全的时候,态势感知、APT、差分计算、AI防御等看似高大上的东西可能并不适合自己的定位。
道德经云,天之道,损有余而补不足;人之道,损不足而补有余。《圣经》马太福音第二十五章:“凡有的,还要加给他叫他多余。没有的,连他所有的也要夺过来”。好多事情到了这里,就成了哲学问题,是因为战略不清导致安全不行,还是安全投入不足导致安全战略不清,企业战略选择中是应该加大安全基础设施投入(补安全短板),还是投入更多资源到优势业务(拓业务长板),确实是一个问题。
简单来说,单位业务目标决定了IT目标,IT和业务目标决定了安全目标,自上而下找好定位,自下而上做好汇报。
3.2 顶层安全架构不明
顶层设计概念源于系统工程学的自顶向下设计,信息安全治理也是同样,需要在高级管理层形成共识。
MIT斯隆管理学院对前500强企业IT建设中谁来决策分为6类,分别是业务君主制(业务高层说了算)、IT君主制(IT高层说了算)、封建制(每个业务部门独立决策)、联邦制(所有部门共同参与决策)、IT双寡头(IT团队和业务团队)、无政府制(业务部门和IT部门各干各的)。将IT治理关键决策内容分为五种,分别是IT原则、IT架构、IT基础设施、业务需求、IT投资,通过对决策机制和决策内容的对比,路径1是效率最高的。(出自彼得·维尔《IT治理》)
《礼记·中庸》:“凡事豫则立,不豫则废。言前定则不跲,事前定则不困,行前定则不疚,道前定则不穷。”华为在二十年前(1996-1998)确立了《华为基本方法》并耗资数亿请外部专业咨询团队开展战略目标和顶层设计。
顶层架构会在后期进行详细描述,从最佳实践来看,IT原则和IT投资规模可以IT和业务共同确定以保持共同目标,IT架构及基础设施战略由IT保持相对独立性,业务需求需要广泛的共同参与。
3.3 实施路径执行不细
无法衡量的,亦无法管理。战略实施过程中,慢就是快,把大目标分解为易于消化,可以衡量,循序渐进的小目标。天下难事必作于易,天下大事必作于细,PMP项目管理中WBS概念既是如此,WBS是任务分解表,将目标从大到小分解为任务、工作、活动。他有两个特点,一是分解的足够细,遵循100%原则,意即二三级目标一定会对应父目标,不会出现需求蔓延。二是给每个管理单元配备相应的资源。当组织用具体的目标进行定义后,成功的可能性会大大增加。
就像烟民戒烟,一下子戒掉会有戒断反应。但衡量为一星期,一月,一季度逐步减少,并加以绩效考核和奖惩,会容易实现的多。魔鬼藏在细节中,战略实施路径一开始可能不会想那么细,但必须要尽量细致,否则非常容易变成空谈。
再举个不太恰当的例子,譬如大多数人嘴上说不要,心里很诚实想拼个虎娃,但虎娃需要虎妈养。有的妈制定了具体的目标,时间目标、行动目标,以日、周、月、年划定。目标的分解也是需求的确定过程,通过分解细化也会舍弃掉不必要内容,这样也避免需求蔓延和需求镀金。这样做的妈有机会成为虎妈,没做到的妈则主要是唬娃。
知易行难指的就是如此,画完大饼只喊口号,不做分解和绩效衡量,会极大消耗组织成员的信心。这是对管理层的考验,我们常常看到创业型企业有一个大的梦想,具体落地实施有的成就梦想,有的成就噩梦。
3.4 汇报宣讲语言不通
用一个数据来说一下,信息安全的预算和人力占到科技部门的比例能做到多少直接体现出安全是否和科技以及单位业务形成一致。国外银行业平均比例在5%-8%之间,国内银行业平均水平在3-7%左右。国外信息安全投入IT占比在欧美20%,日本10-15%,国内官方要求一般在5%或以上。但实际上,好多单位安全年度投入在3%甚至更低。
实际上,投入不足是因为单位没钱吗?目前来看,并不全是。在网安法和等保等一系列合规要求意即网信办的要求下,以预算制单位为例,信息安全资金比例是要有保证甚至做考核要求,而安全投入不足根本原因在于没有进行合理有效的向上汇报沟通。
譬如,在向高级管理层汇报信息安全情况时,只谈今年挖了几个洞,挡了多少次攻击,估计管理层关心不过来细节,没时间听,也真没必要听,财务、统计、市场、监管还有那么多重要的事儿要做。
管理层是车辆驾驶员,企业是车。安全带和刹车不可少,但开车过程中更要关注环境,路况,保持对油量、车况的适当警惕,而不是随时看着安全带和刹车是否失灵(尽管事故中刹车不灵是主因、而安全带能救命)。向管理层汇报安全技术细节是典型的汇报语言不一致,没有通过业务的视角对安全内容进行汇报。正确的汇报方式是通过监控刹车磨损计算出多少事故率,通过安全带检查可以避免多少伤亡,更高级一点是通过对胎压、发动机监控可以提前开展车辆保养避免抛锚,安全的汇报要基于安全投入前和安全投入后收益的增加,这也是ROSI(安全投入收益率,等于安全投入前损失估ALE1减去投入后损失估算ALE2)概念,如果评估后安全投入大于损失估算,可以通过购买保险方式转移或者干脆接受风险。
3.5 战略制定过程中的误区
失败像是成功的影子,人不会没有影子,但知道影子的位置就该往有光的方向走。在做战略前,我们虽不知怎么能接近成功,至少能规避一些前人踩过的坑,和失败较量。
ISACA在战略制定中指出了几种常见的隐患,譬如贪大求全、执行不善等(类同于意识中的贪嗔痴慢疑)。一些失败决策行为可通过行为经济学进行解释,包括但不限于以下几种:
过度自信和乐观:人们往往对自己可能做出的准确估计的能力过度自信,习惯于路径依赖(现状偏见),缺乏广泛的环境分析,宁愿模糊的得出结论而忽略逻辑关系。
锚定效应:基于已知判断未知,用目前所看到的对未来进行规划,这一点在查理芒格的《穷查理宝典》中也有所提及,一旦自我设限确定,未来的结果会锚定在过去的经历上。
群居本能:“蓬生麻中,不扶则直;白沙在涅,与之俱黑”。顺应环境并寻求群体验证是性格本能。但错的内容,重复一百遍也是错误,需要进行独立思考,而不是顺从大众。信息系统咨询师方乐老师讲有一张图,非常形象,一只鸭子在火烈鸟中忘记了自己是鸭子,也开始了单腿独立。
四、战略制定的参考方法
国家领导人在哲学社会科学工作座谈会上的讲话中指出,我国要坚持古为今用、洋为中用,融通各种资源,不断推进知识创新、理论创新、方法创新。我们要坚持不忘本来、吸收外来、面向未来。既向内看、深入研究关系国计民生的重大课题,又向外看、积极探索关系人类前途命运的重大问题;既向前看、准确判断中国特色社会主义发展趋势,又向后看、善于继承和弘扬中华优秀传统文化精华。
实际工作中,我们首先要看看别人是怎么做的,“不师古法不成我法,不变古法终非我法”(清代画家石涛),这也是知方法但不执著于方法的境界。战略制定的过程中,企业架构(Enterprise Architecture,EA)是基础,以下对企业架构和战略制定方法进行探讨(图片来源于网络):
4.1 主流企业架构方法(EA)
根据维基百科,企业架构于20世纪末期源于美国,一般理解是将业务架构和IT架构进行整合,虽各方对架构理解有所差异,但都包括了愿景(口号)、目标(做成什么样)、组织架构、角色等。主要的EA框架有TOGAF、Zachman,EAP,FEA,DoDAF。目前主流的企业架构发展规划遵循两条路径,Zachman和TOGFA。由于TOGAF同时提供了一套架构方法,目前应用较为广泛,EA中有50%以上占有率。(TOGAF2009年调研报告)
几个企业架构定义如下:
TOGAF
就像医生办公室有骨骼图、血管图、神经图、器官图一样,他们整体构成了人。TOGAF(The Open Group Architecture Framework)将企业架构分两大类共四小类,企业架构中通过对两大类(四小类)进行映射以体现企业面貌。两大类指业务架构和IT架构,四小类指业务和IT中的数据、应用、技术三小类。
大部分企业架构的方法都从IT架构发展而来,而同时战略规划辅助企业完成业务及IT战略规划。
企业架构把企业的业务战略转化为日常运作的渠道,业务战略决定业务架构,它包括业务的运营模式、流程体系、组织结构、地域分布等内容;
IT架构指导IT投资和设计决策的IT框架,是建立企业信息系统的综合蓝图,包括数据架构、应用架构和技术架构三部分。数据架构描述企业数据流向与数据资产位置;应用架构阐明各类系统和核心业务系统的关联关系;技术架构描述底层所需的软硬件能力,包括IT基础设施、中间件、网络、通信、处理和标准等。
TOGAF不光给出了企业架构理念,同时提出了架构开发方法ADM(Architecture Development Method)。在业务战略上,通过ADM来定义企业的愿景/使命、目标/目的/驱动力、组织架构、职能和角色。在IT战略上, ADM详细描述了如何定义业务架构、数据架构、应用架构和技术架构,是IT战略规划的指引。通过企业架构承接企业业务战略与IT战略,是企业信息化规划的核心。
以上部分内容引用自CSDN博客:“从企业架构,看TOGAF为什么越来重要?”https://blog.csdn.net/sun305355024sun/article/details/40920051)
Zachman架构
Zachman和TOGAF相比,Zachman更偏向于概念曾,用5W1H的方式对场景进行定义,为架构编写提供基础。
而Zachman架构在信息安全中的落地,就形成了SABSA架构:
4.2 战略制定参考因素
亨利·明茨伯格在《战略历程》一书中对战略进行了说明,战略是要管3-5年的,将战略定位在四个方面,分别是愿景和使命(Perspective),策略和差异性(Positions),方法和执行(Plans),行动和调整(Patterns),简称4P。其定位可以考虑为向上看,向下看,向前看,向后看。
向上看指愿景和使命(Perspective),勾画出企业未来的方向,愿景不是现在的样子,要具备前瞻性并且把团队聚合起来,而钱不是聚拢团队的唯一方法。埃隆·马斯克(Elon Musk)说过,他给再多钱也挖不来NASA的工程师,因为他们在做更有意义的事儿。
向下看指定位(Positions),企业战略必须考虑现实情况,没有千篇一律的战略,都是根据自己情况的最佳实践。信息安全有成熟度模型,不同成熟度,战略必定有区别。俄罗斯革命是采用城市辐射农村,我国是采用农村包围城市,情况不一样,方法不一样。
向前看指计划(Plans),定好了方向,需要蓝图,定好里程碑节点,无法衡量的事儿也无法管理。
向后看指行动和调整(Patterns),战略的执行是要根据执行过程进行调整,大方向不变,但不能一成不变。搞战略,不法于古,也不能定于一尊。
4P模型是一个方法论,和戴明环的PDCA(计划Plan、执行Do、检查Check、改进Action)模型有模糊的对应关系,同时和包以德的OODA的调整模型有相关性。
总结一下,战略(Strategy)=愿景+使命+目标;规划(Plan),战略规划确定后,制定一系列实施计划并形成实施方案。
五、安全治理现状
前面探讨治理过程中,我们始终强调信息安全需要高层重视,技术引领,但实际工作中是否能做到未可知。举几个现状:
现状1、无法向高层提供重视依据
在03非典以前,应急处突制度还不完善,但现在我国应急管理制度从央省地县各级都有完备的应急预案和处突机制,一把手负责,人命大于天,出了恶性事件要和考核挂钩。某世界第一强国飓风过后还有哄抢,而我们发展中国家人民子弟兵用自己的血肉之躯挡住了长江的洪流。毋容置疑:高层重视,一把手负责,就算用最土的方法,安全也一定能实现,真是技术顶不上的时候,为了停攻击把网断了的事儿也发生过,唯一的区别是效率和效益。但咱们搞技术的同学们,您要学会分辨高层是真重视还是口头上重视,同时认真细致思考其中的原因,还是那句话,为什么感觉有力使不上,务必反思自己沟通方式,这个很重要,很重要,很重要。
现状2、安全技术和管理不协调
再探讨一个问题,安全技术现在真的做的足够好了吗?实际上,网络安全一直处于不断的变更过程中,都说技术变化快,但谁变化不快呢,从02年到现在,除了股市没变,各种风口轮流变了一次,银行业数据中心都走完了分散、集中、分布式一个轮回了,还没有什么是技术解决不了的问题,如果有,那就是管理。网络安全做好不光是技术流,还包括组织架构、人员意识、政策符合度、能力水平。实际上,尽管我们防护的内容从传统PC和服务器扩展到了大物移云,但技术的种类和专注度比以往好了很多,安全技术虽仍有瑕疵,但不断变好,逐渐靠技术将人解放出来。另外,一些传统部委,人员编制不足,安全技术紧缺,但安全协调和管理水平很高,策略执行力强,安全一样非常出色。
那么问题来了(敲黑板):天天说安全难做,到底难在那里呢?实际上,下真工夫做安全技术不难,高层思想和口头都重视安全也不难,难就难在组织战略、企业战略、安全战略一致性,安全不光是管理和技术,需要的是安全治理和战略落地,从治理到战略到管理的规则设计,落地在执行的效率。
高层时间真的有限,不能幻想高层知晓一切技术细节,不合理也不现实,无论什么情况下,单位业务是第一要务。安全需要的是达成共识,各司其职。达成共识的底层基础在于做安全的人必须能够说清楚安全到底是什么,怎么样做才安全,这就要求安全人员从技术细节中跳出来,在一个相对高的层面进行汇报。安全做的好不好,往往是是否和高层达成真正共识。
知行合一,认知到了而不行动,是伪认知;行动了却没有认知基础,为盲行。安全发展就像IT成熟度一样,在组织自身不断进化过程中不断和高层达成真正的一致,需要动态调整。
那么,理想的IT相关治理应该是什么样子呢,在《IT治理-一流绩效企业的IT治理之道》P144-149进行了描述,应该有以下特征:
更多领导层的管理者们可以描述IT治理。企业中高层能够准确描述IT治理的比例是IT治理是否成功的首要标志。
使用,使用,再使用。通过不停的使用。治理需要仪式感,通常采用相对正式的会议与成员进行沟通。沟通方式包括但不限于高级管理层声明、正式委员会、首席信息官办公室、沟通例外、发布规范并执行。
高层领导者更直接的参与IT治理。
IT投资具有更加清晰的业务目标。通常包括但不限于降低成本,改进客户服务,增强沟通,提升质量。
更多差异化的业务战略。遵循共同的价值观(成本约束、复用),鼓励支撑业务战略。
例外都走正式批准流程。大禹治水,堵不如疏。不鼓励例外,但例外必须有正式批准流程,否则对遵循规则的人是伤害。
治理变更的次数逐年减少。意味着和企业契合度的上升。
六、安全战略线路图
理清了企业战略、IT战略、安全战略的关系,下面探讨一下如何做安全战略。从已有战略制定方法,可以将企业战略和IT战略映射到安全战略中,梳理如下:
6.1 安全战略开发方法
安全战略需要做的是将业务战略、IT战略和安全战略结合落地,有几种成熟分方法可以用来做参考。
一是ISACA对信息安全战略开发过程进行了描述(来源:ISACA,Information Security Governance,2008)
二是从Zachman发展来的SABSA对信息安全战略概念进行描述如下:
6.2 信息安全整体框架体系
综上,依据治理、管理、运营三个层级,从战略、战术、执行三个层面,对应到各层级所需方法和框架,笔者试着进行了方法论的梳理,同时增加了安全控制内容,以期通过测量进行控制项落地。
企业治理:方法以TOGAF,ZACHMAN为主,TOGAF相对来说提供了架构开发方法ADM,而ZACHMAN则在理念层面提供一种思路。
IT治理:IT治理中方法比较多,典型的参照COBIT,将IT治理和IT管理结合起来。其中治理EDM包括(评价、指导、监控),管理PDRM(计划、构建、运行、监控)。同时,在流程管理中需要采用ITIL的方法进行。
安全治理:从ZACHMAN模型对应出来的SABASA模型对信息安全治理进行说明,此处对应信息安全一级文档,战略、总纲方针。
安全管理:管理是战略的落地,典型的参考架构是信息安全管理体系标准(ISMS)(ISO27000标准族),同时参考质量管理的六西格玛和成熟度模型,国内对应的是等保的管理要求,对应信息安全二级文档,标准、策略。管理三要素可大体用PPT三个字母代替,分别表示人员管理,流程管理和技术管理,通过管理要素最终实现业务价值。关于管理三要素和价值可参见以下链接:
人员:谈银行业网络安全人才观
价值:信息安全价值及落地
安全控制:无论技术、物理或者程序控制,其本质是监管流程。安全控制是安全运营的内容,关注控制项和运营指标设定,对应手册、规范、流程、基线等。
基于以上四层,个人理解图示如上(原创):
在各层均有相应可参照的标准和框架方法,值得一提的是TOGAF和COBIT均具备了一定的框架开发能力,可以沿用方法对企业架构,IT架构进行对应管理,27002中14个方面的114个控制项,等保中的控制项均可以按照适应性进行选取。具体方法和对应请参照相关框架方法或后期专题进行说明。
结语
治理是个系统工程,自上而下是改革,事半功倍;自下而上是变革,事倍功半。改变是有风险的,历史上商鞅和王安石就是例子,但若不改变,诺基亚就是明证。
资源总是紧缺的,如何发挥安全的效率成为重点。高效改革和演进的根源就在于如何和管理层处于同一沟通频道上,用共同的语言探讨共同的目标,从单位战略角度看安全的定位,获取对安全的信任和对风险的管控,从而保证安全可以有效支撑单位业务。简单来说,就是将网络安全战略和单位战略形成一致,做到这点,安全就已经成功一大半了,剩下将框架落地就是考验基本功的时刻。
另外,知道方法不等于生搬硬套方法,参考方法但不执着于方法,过河弃舟。买了一辆赛车,并不代表你就成了赛车手,明白了企业架构治理,也要找到一个能够让架构真正发挥价值的环境,而非架构本身,需要根据自身企业环境进行定制改良。马云先生2018年在湖畔大学中谈到愿景、使命、价值观,每个单位的战略都是不一样的,不可复制,也是同样的道理。譬如复杂地形更需要的是越野车而非跑车,崎岖山路运载低价值生活物资五菱宏光可能更适合,等整体环境成熟了再上AE86。对于企业,贴合自己的就是最好的,需要从自己的实际环境出发考虑业务架构和IT架构的融合。
最后,企业架构驱动往往代表着打破部门壁垒,企业架构是通过IT治理进行落地的,而IT治理过程代表势必会导致组织架构流程调整,还是那个问题,业务不断演进,红利逐渐使用殆尽,要么改变,要么被改变。
参考资料:
1. 《IT治理》(彼得·维尔著,杨波译)
2. 《互联网+时代的IT战略、架构与治理》(刘继承编著)
3. 《IT架构思维》(Peter Beijer著,程志刚等译)
4.ISO27000系列标准
5.TOGAF标准9.1版(The Open Group著,张新国等译)
6.CISM(Certified Information Security Manager)手册
7.谈银行业网络安全人才观(吕毅,中国信息安全 2018年第12期)
8.从信息安全运维向信息安全运营进化的探讨(吕毅,计算机工程与应用2018年)
9.基于攻击视角完善信息安全弹性防御体系的思考(吕毅,金融电子化2018年第6期)
致歉:资料梳理中有诸多不足,最直观的感觉是框架太大,太虚,就像盲人摸象,很难抓住重点,脉络不好把握。尽管如此,IT治理和信息安全战略思路再难也要去试着啃一下,虽比较抽象,但尝试对已有框架进行整理,作为以后继续探索的靶子,抛砖引玉。如有不足和理解偏差,皆因自我理解不深,一并致歉,欢迎互相探讨。另,文中引用内容均进行标注,如有遗漏或版权问题请及时联系本人更改。
致谢:编写过程中,得到了平安科技陈建先生的指导,关于安全治理和战略方面多有收获。建信金融科技公司付晓岩先生关于IT治理和中台的思路对本文启发很大,还有安全咨询师方乐老师凭借十多年咨询经验答疑解惑,一并致谢。另外,在和聂君先生长期沟通中,获取了相当多实践知识,他也集合了几位志同道合的朋友一起写了一本《企业安全建设指南》,采用体系化思维解决信息安全问题,已有幸第一时间阅读,如获至宝,强烈推荐。
声明:本文来自君哥的体历,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。