这是第三篇涉及业务安全驱动数据安全的文章,回答关于作业流程的疑问。
业务安全也好,业务驱动的数据安全也好,理念估计大家都认可,关键在于如何做。Know-How这件事,是经验和隐性知识的关键。
这些年跟很多甲方、乙方讨论过业务安全和数据安全的问题。大家有个误区就是业务千变万化,做业务安全很难标准化和产品化。对产业而言,这不是一个具有投入产出比的产品思路。对于因项目交付疲于奔命的乙方而言,个性化定制满足客户需求,是很多企业希望摆脱的模式。虽然实践上来看,很多产品型公司因产品的问题,陷入交付陷阱,还是把产品做成了项目。
其实,业务安全并不一定是根据客户的独特需求定义成不可复制的项目。业务安全做成产品需要上层的逻辑共性抽象,本质上是需求的理解能力和产品的设计能力。同样,业务安全驱动的数据安全并不是不能产品化的个性化数据需求,其中的核心抽象在于作业流程的治理。
同时,作业流程与企业的数字化转型密不可分,可以说是企业数字化,安全,风险治理的关键。当然,说了理念,可以改变认知,但如何做,可能依然无从下手。今天,我就从作业流程治理的方法论角度,简单做下论述。
一、理论结合实践,记录验证实践
理论上企业要先有作业流程的设计,根据作业流程设计、开发相关的作业系统,支持数字化作业,然后对作业日志的过程挖掘,验证和优化作业流程的设计。
但现实中,企业往往缺乏作业流程的设计。实际可能是以作业关系人的经验,在实践中百花齐放,根据业务需求,灵活多变的作业流程实现业务过程。
由于作业过程不是系统的,完整的,也不是完全信息化的,所以就带来的一系列的问题:作业过程不规范,作业效率低下,作业质量难以衡量,作业绩效难以评估。至于业务安全和数据安全问题,在业务规模小时容易被忽视,则可能根本不再关注范围之内。
1、作业流程梳理与设计:
所以,作业流程设计,往往需要对现有作业流程进行梳理。作业流程梳理,应该由业务运营部门开展。
首先根据组织架构、部门职责,岗位设置以及岗位职责等进行梳理。然后分解每项工作开展的作业行为,以时间为顺序梳理每个岗位,每个行为,在什么环境,场景,系统中操作,输入和产出是什么。
这个梳理的结果,开始是比较理想化的,也不会完整和齐全,需要一个持续验证,校验,修正的过程。
最大的问题是,作业流程的标准化会对业务运营的透明化产生重要的影响。虽然是对业务运营经验和知识的沉淀,挖掘,对企业有益,但未必有利于所有人,特别是对以运营经验优势获得业务重用的负责人。因此,业务负责人对这件事的认知和胸怀是梳理作业流程成败的关键影响因素。
显然,作业流程的梳理并不完全依赖于作业部门的自我梳理,作业实践的梳理也会验证作业流程梳理结果的完整性和准确性。
同时,作业记录的分析与挖掘也会逐步完善作业流程梳理的输出。无论是作业实践的验证还是作业记录的佐证,都会对作业流程进行重构。
作业流程梳理、验证、完善这个过程对作业流程设计的必要性,完整性,合理性验证以及优化都具有重要意义,是作业流程治理的第一步。
2、作业实践梳理与设计:
相对于作业流程的梳理方法而言,作业实践是在企业运行中一直存在的。从数字化的角度来看作业实践,我们可以看到作业过程所在的网络环境,终端环境,第三方应用,不同作业系统,线上、线下的作业工具,以及外部交互的边界,与外部组织,系统,用户交互的互联网应用。但现代企业管理的分工机制,导致企业管理分阶段,分领域的职能划分,带来一系列跨部门沟通与协作问题。
具备了作业流程的产出,我们不妨映射到作业实践中来。作业流程行为操作者是员工还是外包;外部机构通过第三方应用,终端,还是作业系统开展;数据的流动与交互;作业行为的顺序与组织;相关操作是作业行为还是违规行为;在正常作业中的频率、时间、顺序的合理性是什么;作业系统的功能、权限、流程设计是否合理;什么因素对作业过程有影响。作业过程中,哪些数据和信息通过作业系统,哪些是通过各显神通的线上线下渠道流转以实现作业过程的完整性,等一系列作业流程设计与作业实践冲突或缺少明确结论的问题。
这些信息对企业的数字化水平的评估,对信息系统设计的合理性,对作业的价值分析,绩效分析,效率分析,作业管理运营水平而言,至关重要。
当然,作业实践梳理也是验证和完善作业流程的关键步骤。任何不在作业流程中的功能,应用和数据,都需要溯源是作业流程梳理的遗漏,还是无效的步骤,甚至是违规的操作。在作业流程梳理与作业实践梳理彼此对照的前提下,什么under table的操作都无所遁形。
3、作业记录的采集与挖掘
数据驱动的企业管理,需要对作业流程的全记录。虽然作业实践可以验证和完善作业流程的设计,但模式的成功不代表运营的成功,我们需要通过对作业记录的流程挖掘来实现作业流程和作业实践的持续改进。
任何不在作业流程中的作业行为记录都应该作为流程梳理和设计输出的质疑线索,无论是过失和故意,都要对其进行完善和补充。同样,对任何作业流程输出的行为,缺少相应的行为记录的,也需要检讨流程记录数据采集的缺失,进行完善。
完整的作业记录分析,可以通过机器学习方法,识别其中的异常环节。作业的同步、异步;基于时序的作业流程分析;作业行为输入输出的关联性;作业行为间衔接的异常等一系列异常的聚类指标,都可以作为作业流程完整性,有效性,合理性的判断依据。
可以基于统计数据建立作业绩效和效率的统计指标。细化到员工作业过程的统计分析,无论是从质量,绩效,合规的角度,都可能会发现意外的惊喜。
二、作业流程记录驱动的数据安全
网络安全驱动的数据安全关注的是数据的采集(物联网、录入),存储(数据库、大数据、终端),传输(API),应用(WEB、APP)等数据生命周期的技术风险被内外部威胁,例如黑客和恶意员工利用造成的数据安全风险。
业务安全驱动的数据安全关注的是员工(包含外包、合作伙伴职员)在作业过程中或夹杂在作业权限之内的操作风险。任何员工利用岗位权限便利的行为中无意或有意的造成的数据安全风险。
1、作业流程中数据安全的作业记录
首先关注的是作业流程梳理和设计中用户敏感信息和商业秘密的数据访问情况。无论是浏览,编辑还是通过跨系统,跨行为的格式转换,分析和存储,都是需要重点关注的数据安全关键行为。
其次是作业实践过程中敏感数据的关键触点。无论是终端,第三方应用,工具还是作业系统的数据页面,都是需要重点关注和记录的重点。
然后是作业记录中,关于作业流程中作业行为,以及作业实践中的数据触点的相关记录,任何员工访问敏感数据的操作都需要记录在作业流程记录中,以供流程挖掘。
2、数据安全事件的溯源分析
数据安全事件中涉及到的敏感数据在作业流程中作业记录的溯源,是建立监控和审计规则的基础。
需要对数据安全事件中的事件进行分析。分析相关事件涉及到的数据,对相关特征进行聚类分析,对数据安全事件中数据相关的作业行为进行聚类分析。分析其中员工的作业行为特征,识别出异常的员工,岗位,作业记录,业务触点,为发现潜在的脆弱性提供线索。
在数据特征分析中,需要关注企业边界的数据流动的流量记录,对异常的合作伙伴流量特征相关性线索进行追溯。同时,也需要重点关注流量异常历史事件的特征相关性,识别恶意或风险较高的合作伙伴。
作业记录统计异常,流量记录统计异常,安全事件溯源,构成了潜在数据安全风险监控预警的线索,可以作为规则的依据进行持续监控。
三、业务安全驱动的数据安全数字化
作业流程的梳理和设计,作业实践的调研和记录,作业流程记录数据的分析,监控与预警构成业务安全驱动的数据安全。
需要关注从一次性的项目转化为持续的能力,实现管理和治理自身的数字化,建立系统化,实时化的动态管控机制,对安全策略进行管理,对安全事件进行预警,对安全态势进行展示。
作业流程设计以及作业实践的治理涉及到企业的数字化能力甚至业务运营能力,未必是安全部门可以涵盖的能力范围。如果企业具备上述能力,安全部门需要的只是作业流程中作业行为的敏感数据操作和相关作业记录的采集与分析。
如果企业不具备相应能力,则安全部门可以最小化实现安全相关的作业流程与作业实践的梳理,并完成相关敏感数据行为记录的分析和呈现能力。并以此为基础,构建动态实时的作业行为记录基础上的业务安全驱动数据安全的监控与预警,并实现安全策略的及时性和自动化,以实现数据安全的态势感知与全面性和系统化管理。
声明:本文来自IT的阿土,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
