顾伟,安进生物技术 信息安全官
丰富和广泛的信息安全领域工作经验。制药行业信息安全和隐私专家。具有超过15年的安全管理,安全战略,业务整合和安全团队运营经验。国内外论坛演讲嘉宾和圆桌特邀嘉宾,英国金融杂志Financier worldwide编辑委员,(ISC)²亚太信息安全领袖获奖者,IAPP亚太咨询董事会成员。
前言
又要到一年的结尾,当外面的冷风吹过的时候,已经是深秋初冬的天气。普遍在这个时间,所有的同行们都要开始着手写年终绩效评估,收集360度反馈等。等到整年的工作完美收官,而后就是新的年度工作计划。在我看来,信息安全规划每年都是不同的,又是相同的,是关联的,也是独立的。又恰好读到两位同行的新作,既有丰富的5W1H方法论指导我们如何开展信息安全规划的制定,又有从哲学角度思考信息安全规划和业务的缠绵和相杀。我不禁在问自己,还有什么可以和大家分享的,关于信息安全规划的心得。后来突然发现,杂学正好可以用到规划这档子事。那我就随便天马行空和大家侃一下。
首先,谈到规划,先要搞清楚规划的意义?也就是我们说的,搞清楚规划的目的,价值和展现方式。其实从业务角度出发,年度规划,季度规划和月度规划都是非常普遍和常见的,但是放到了信息安全这个维度,规划一般就会被淹没在大量的指标比较和数据盘点中。当然,并不是说信息安全规划完全不需要数据指标,但是从根本上来说,我们要知道规划是给谁来看?怎么打动我们的管理层,怎么有条理,更优美的展现我们的信息安全规划?所以我大致要分几个学科维度来讲一讲信息安全年度规划。
首先,管理学场景:
1、利益相关方认定
把握住相关干系人是让规划被最适合的人听到,最大化规划所起的作用的先决条件。
方法:用决策人影响模型来进行选择。
推荐使用DAI, 也就是Decision Maker, Advice Givers 和 Informed Stakeholders的首字母缩写,决策者,建议者和被告知者矩阵来对应应当通知的干系人。决策者是听取规划,做出相应行动方案决定的关键人物。一般是企业的CFO,CIO和CISO。建议者包含了各个业务部门的VP,区域和国家的总经理等。被告知者更多是和规划实施利益相关的影响个体。通常来说会让更多的业务部门和合作部门来参与其中,比如法务,合规,质量控制等。这些部门有可能需要被通知,也可能在在特定场景提供建议。但是信息安全年度规划必须考虑不同的利益相关者。
基于利益相关方的认定,解决了谁来听,谁来建议,谁来参与的根本性问题,更精准地将信息安全年度规划传递到需要包含的听众。
决策模型的使用场景也需要依靠衡量企业独特的文化倾向和组织架构。因此第二个条件,就是企业文化倾向和组织架构。
2、识别企业文化倾向和组织架构
诚然信息安全规划是对于新的一个年度信息安全建设的战略思考和方向指引。但是对于一个合格的信息安全规划,或者说是更有效率的信息沟通,如何识别企业文化的倾向和组织架构是非常必要的。
首先来看看什么是企业文化倾向。广义上来说,企业文化更多代表的是价值观。抽象的表达是企业文化的内核中包含着各种价值因素、信念因素、道德因素、心理因素等,它们虽然看不见,摸不着,却可以通过企业的流程和不同的经验理念表现出来。管理学上喜欢MVV来代指企业的价值观。Mission,使命,Vision,愿景,Value,价值。使命体现了作为一个公司的宗旨,也是衡量行动与决策的准则。愿景为蓝图搭建了框架,引导业务的各个方面朝着公司可持续、高质量增长的方向迈进。
价值观为企业提供了行动指南,同时也体现了行为方式。而MVV非常贴切地表达了业务的发展方向和动力源泉,信息安全规划如果能识别企业文化倾向,更顺畅地去和业务或者说是价值观同道而行,贴近企业发展方向和战略,那必定会如虎添翼,乘风万里。打比方就是,企业喜欢更直接还是更喜欢润物细无声的方式?可能取决于领导者的个性,但更多的还是被企业文化倾向所影响。
组织架构是另外一个不可或缺的要素,组织机构的定义,定义了组织各个审批等级和部门的角色。其次组织机构可以快速帮助我们定位到合适的利益相关者,也就是上面提到的DAI,决策者,建议者和被告知者。组织架构在整个信息系统生命周期或者说是企业信息治理生命周期中都起到了非常重要的作用,包括文化的迁移的风险管理方法也要参考组织架构。
3、SWOT分析法
管理学上屡试不爽的SWOT大法在信息安全规划层面,也是非常适用。首先来看SWOT分析法, SWOT分析法根据企业自身的条件进行分析。著名的竞争战略专家迈克尔.波特提出的竞争理论从产业结构入手对一个企业“可能做的”方面进行了透彻的分析和说明,而能力学派管理学家则运用价值链解构企业的价值创造过程,注重对公司的资源和能力的分析。
就结构化而言,首先在形式上,SWOT分析法表现为构造SWOT结构矩阵, 并对矩阵的不同区域赋予了不同分析意义。其次内容上,SWOT分析法的主要理论基础也强调从结构分析入手对企业的外部环境和内部资源进行分析。信息安全规划所要达到的目的,本质上和SWOT分析法异曲同工。
S,Strengths优势: 分析得到的是,衡量一个企业及其产品是否具有竞争优势。在信息安全规划角度,其实就是分析自己信息安全保护能力的优势,概况为,安全政策,安全运维,安全架构,隐私合规等不同的象限。不求面面俱到,但是一定要有理有据,可以证明企业在S领域的优势,从人才,流程,技术,管理,政策合规出发,去综合阐明一个企业的优势。
W,Weaknesses劣势:分析得到的是,衡量一个企业及其产品的短板。在信息安全规划角度,分析的是潜在弱点,漏洞和意识缺乏。其中可以涵盖到战略,政策,标准,流程和相应的步骤。人的弱点,在于企业信息安全文化模型的搭建,这里可以提到的是,信息安全意识培训是可以贯穿始终的不可或缺。
O,Opportunities机会:分析得到的是,企业潜在的环境机会。也就是对公司行为富有吸引力的领域,在这一领域中,该公司将拥有竞争优势。应用到信息安全规划层面,机会是依据自我认识后的结果,同行的经验总结和外部环境的态势感知,得出的一些预判。一位同行曾说过,他的信息安全规划建立时,只问三个问题,第一,信息安全层面,有哪三件事我们现在可以做,必须做?第二,其他公司在做哪三件事,而我们为什么没做?第三,如果我们也要做,我们缺什么? 机会其实就在这些问题的答案里面,知道潜在的能力和优势,劣势,必然能推导出更多的潜在机会,当然这些机会在下面哲学层次就是我说的兴奋点。
T,Threats威胁:分析得到的是,环境威胁。指的是环境中一种不利的发展趋势所形成的挑战,如果不采取果断的战略行为,这种不利趋势将导致公司的竞争地位受到削弱。在信息安全规划层面,我们这威胁应对层次,可以用风险管理方法,业务持续性计划来削减这些潜在威胁造成的风险。而传统意识上的信息安全年度规划,基本就是只做T,不看O,没有S,只有W。所以我们不能一味唱衰,但也不能只顾自己嗨!
其次,哲学场景:
4、找高度,扩广度
除去管理学这块,继续谈到哲学场景。我们该怎么谋划我们的年度信息安全规划。重点:找到让人兴奋的东西。
哲学上三大终极问题:
“你是谁?”“你从哪里来?”“你要到哪里去?”
你是谁?按照5W1H的方法,就是自我识别的过程,知道自己企业的环境,组织结构,文化特征,人员配备,再从这些出发,找出自己的轮廓。以前的人们热衷于认识和发现外部世界,想要找到世界的起源和本质,它也许是水,也许是火,也许是看不见摸不着的道。后来人们就把对于外部世界的热情转移到了认识人的内在思维上面,这一时期是人的认识能力的一次张目,于是有了“我思故我在”。
而你是谁?说到底是认识自我的第一个问题,不管哲学层面上如何认知,信息安全规划需要有个兴奋点。按照我的理解就是,就是有没有可以证明自己的地方?证明自己所处的位置,行业的定位。而“从哪里来?”解决的是安全的本质问题,博弈和合作;而“要到哪里去?”解决的是业务赋能的问题,信息安全给业务赋能。
所在从哲学到实践性的回应,答案就是:
“你是谁?” 我要做必须做的事情。
“你从哪里来?” 我要做曾经说过要做的事。
“你要到哪里去?” 我要持续完善和调整看起来“好”的东西。
我要做必须做的事情,起点在于企业应对的是不同业务所在国家的法律和法规,包括信息安全管理和数据隐私法合规的问题,包括确保恰当保护他人委托你保护的数据,以及第三方如何履行他们数据安全和隐私保护的责任。这些是筹码,是确保可用性和满足合规的基本要求。但是不满足这些基本要求,就很有可能面临监管风暴,以及安全违规或数据丢失所带来的高昂经济损失。
我要做曾经说过要做的事,这代表坚定致力于践行所说过的话——合约上,监管上,内部政策上甚至道德上。这些其实应对的是企业治理框架的制定。而安全本质其实是建立信任,任何信息技术手段或者管理政策的最终目的是找到一个企业可以接受的信任点。因此要致力于将安全和企业治理相结合,并将整个企业内传达。
我要持续完善和调整看起来“好”的东西,这代表的是如何围绕业务赋能去做文章,体现信息安全规划的价值。好的东西,可以是如何积极应对企业业务转型而带来的安全转型。企业的领导人,CISO,CIO等必须从新时代的背景出发,从根本上考虑业务和安全规划的契合,还有就是如何调度董事会和管理层的兴奋点。这点尤其重要!平淡无奇的报告和毫无亮点的规划是很难得到同理和认同。因此我们应该从业务紧迫性,数字化转型,合规风险出发来找高度,扩广度。
可以问一些问题来演练一下应该董事会或者管理层的询问,
对A公司造成损害的违规,发生在我们身上的可能性有多大?
如果确实发生在我们身上,对我们法律,运营,品牌和合规的风险是什么?
你如何改革我们和A公司一样的可能被损害的脆弱点?
你是否确信我们的总体业务风险容忍度已经清楚定义并且我们的信息安全已经根据它进行了适当的调整?如果不是,我们需要采取什么措施来实现这种定义和调整?
目前我们网络防御中最明显的漏洞是什么?三年后可能是什么?有没有解决这些漏洞所部署的计划和解决时限?
是否已经有了定义清楚的,与信息安全风险管理相关的角色和职责?有没有风险治理架构?
最后一点感想,从艺术角度出发:
信息安全规划的载体是文字,听众是管理层和利益相关者。而交付的方法一般是正式的报告或者面对面的会议。从艺术角度考虑,无外乎要求文字和演讲艺术,在外企的规划报告会上,文字或者说PPT是基本的内容,更多的是说的魅力,这点在我的同行里并没有被关注到。语言的力量在于,CISO保证在正确的语境中使用正确的语言,才能被看作真正的业务经营者而不是技术人员?这个马甲是很难脱掉的,在10月成都的世界信息安全大会上,从0到1,从CISO走向董事会的这个演讲,颇有拨云见雾的感觉,演讲者提到了很多技巧来达到1。
总结一下,其实就是文字的艺术,语言的艺术,心理学的艺术。首先,不要屈服于先入为主的刻板印象,你就是个技术人员。当然他们喜欢把CISO看成技术负责人,也是因为他们觉得你完全不考虑业务实际。因此,规划的内容不应该使用首字母缩写,我曾经看到无数个规划内容里的首字母缩写,然后靠猜~~~。不要使用夸张的语句,杜绝流水句,重点关注网络风险对业务的影响。
其次,多了解组织的业务环境,就像我的同行说过的,看懂财报,看到年终管理层的布局和三年,五年规划是和业务拉近距离的方法。所有我们的CISO更要学会对竞争优势与弱点,客户行为,销售与利润趋势,分销渠道和品牌建设等各种问题具有自己的见地并能清楚表达。心很累~~~~
再次,就是语言的艺术应用和同理心的建立,语言在于如何将你想表达的内容有效地传递到对象,包括了解业务挑战,从和他们的角度进行信息安全的对话并提出建议,举个例子,你建议的投资如何让数字化平台的有效性提高20%,并且是安全可靠的。确保不会像同行的一家企业一样因为平台停摆2小时而损失高昂的收入。或者更先进的数据保护方法让法律部门的取证和诉讼更有效,当然举个不恰当的例子,很多公司的业务收益或者说股票涨幅其实都是靠诉讼赢来的。
最后,记住你必须有支撑自己规划的解决办法。当你向董事会谈论规划要求安全投资的时候,要有控制权和问责的控制权,也就是向他们传递:“在你们无与伦比的支持下,我已经准备好了来年的信息安全规划。”但是你不能是那个明白做什么却还没准备好的人。
语言技能,演讲技能或者说的语言的艺术在这里非常重要。沟通上层,把握对应层,控制下层全靠说。
说了这么多信息安全规划的内容,其实还是我总结的三点,信息安全规划要靠管理学,哲学和艺术互相融合地呈现出最大的价值。很多方法是现成的,但是怎么用,要看人。而不拘泥于形式,多角度融合,找对你自己的路,也许是最切实可行的方法。无论的宏观的角度,5W1H,哲学的思考,都是为信息安全规划指出一条路,但是条条大路通罗马。我就写到这里,谢谢大家!
声明:本文来自安在,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
