规则遵从文化 促进安全合规管理和风险管理

很多时候,在考虑建立或者扩大信息安全性并报告给高级管理层时,我们面临的最大挑战不是技术上的,而是文化上的。

业务经理犹豫是否应该突出有风险的领域,因为他们担心会被人认为没有尽忠职守。律师担心在文件中出现漏洞,因为某些漏洞最终会对组织不利。有时,经理们不愿意对公司高层讲的太多,虽然其中确实可能存在很大的风险,但是他们担心高层不能完全理解这些信息,只会再提出一些无理的要求。

这就是我们作为安全和规则遵从管理人员所面临的现状。如果成熟的公司想全局把握信息安全的风险和规则遵从,这些问题都是必须首先要解决的。

与许多人所认为的相反,在寻求解决安全和规则遵从的弱点时,知识就是力量,且保持良好的透明度是一件好事。不过,要成功的跨越文化障碍,从而有效地报告信息安全状况,是需要策略的。一些经过时间考验的解决方案,它们可以用来解决这些阻碍有效管理信息安全风险及规则遵从的文化障碍。

培养规则遵从文化的几个建议:

使用直白的语言——毫无疑问,在信息安全报告中决定成败的最重要因素是语言。简单地说,任何报告(无论是在记分卡或叙述)必须只限制使用基本的业务术语。不要使用IT术语,不使用任何模糊的缩写,不要出现特例。一个IDS系统或其他网关设备可能有一份很好的20页的详细技术报告,虽然可能对技术人员有帮助,但它们不应该出现在提供给高管们阅读的报告中。相反,应该要求写这些报告的人去总结这些数据,使用尽可能简洁的语言,以便让不熟悉该项技术的人也能理解。

公开是安全的——第二大重要的因素是营造一种环境,让人在这种环境下意识到公开是安全的。这意味着人们被允许表达他们所观察到的潜在危险和操作失败而不会受到惩罚,管理人员应该在条件允许时营造这样的环境。对于观察到的风险,重点必须放在风险评估及应对方案分析。对于操作失败,报告重点应放在1)发生了什么事情,2)应该对其做什么,3)怎么样使它不再发生。责怪是合作的死敌,因此任何纪律处分,必须私下进行。一旦人们开始意识到风险和失败都可以提出来进行合理、健康的讨论时,越来越多的风险就会突然被人们注意到。

重点放在解决方法上——简单地说,要确保向管理层汇报任何重大的风险,应该包括了对该风险有一个管理层水平的评估和一个行动计划(或至少提供一些选项)。过分强调风险本身并不能解决问题,还经常给人没有做好份内工作的感觉。但是,提出风险的同时顺带一系列的解决方案,会强化一个事实:这个人有在做事。

让他们做决定——当提供关于信息安全计划的遵从规则的内容时,除了让管理层了解情况,还应该给予他们做决定的机会。即使这意味着对于某一关注的领域只是简单地提供了一些选择,这也利于让他们参与进来,并引起重视。这看上去存在风险(试想谁真的指望“秃头老板”能做出实质性的决定?),但是当风险被解释清楚、选择范围也明确时,老板们也愿意参与进来。 相信我,参与真的是一件很好的事。

从小事做起——事实上,很多企业无法从零一步建立很详细的计分卡,这也从未发生过。从小事做起是专注更多的可以使管理人员采取行动的无害基准点(data point)(如,培训结束,第三方管理等)。随着管理层逐渐熟悉报告的模式和周期,他们会把注意点转移到更敏感的话题,比如公开审计问题、控制失误、操作事故和风险热图(heat map)等(后者更直接的和具体业务领域相关)。

最后,我们的目标是通过对话和接触来建立一个规则遵从文化。从小事做起,保持格外清晰,保持紧迫。最终,人们会发现这些建议比想象中的友善,进而会进行反思,并建立论坛用来讨论一系列对公司有益的问题,最终建立起可以更好为企业服务的规则遵从文化。