以责任分散视角分配网络安全任务

本文探讨如何在组织中分配网络安全责任,避免责任分散效应。通过明确期望、强化问责和建立个人联系,确保安全成为每个人的责任,涵盖技术实施如双因素认证和漏洞修补流程。

以责任分散视角分配网络安全任务

计算机系统中“安全是每个人的责任”这一概念至少可追溯至1980年代初,当时它被纳入美国海军训练手册和美国众议院听证会。这句精炼口号背后的理念是:组织中的每个人都应对安全计划有所贡献。即使公司设有职位名称包含“安全”的员工,他们也无法独自保护信息资产。毕竟,安全团队之外的人员才是提供服务、构建产品或从事其他业务活动的人,这些活动都需要做出与安全相关的决策。

每个人都能负责吗?

我们如何分配网络安全任务,并落实“安全是每个人的责任”这一可能乌托邦式的想法?毕竟,责任分散原则表明,当人们处于群体中时,会感到责任减轻,可能是因为他们认为其他人会采取行动。

声称安全是“每个人的责任”可能导致它变成“无人负责”。为了在利益相关者之间分配安全责任,我们需要对抗责任分散效应。我们应澄清期望,追究责任,并在利益相关者与受影响事项之间建立个人联系。

澄清期望

网络安全领导者通常设计和管理安全计划,这是组织实现安全目标的结构。在该计划中,名称包含“安全”的团队具有以下责任:

  • 识别和跟踪安全漏洞的修复
  • 设计用于执行安全措施的系统
  • 监控和调查安全事件
  • 记录安全配置指南、模板和实践
  • 向业务利益相关者提供安全指导
  • 注意安全期望未被遵循的情况

谁应该修复漏洞、将安全原则纳入项目并以安全适当的方式部署技术?在大多数情况下,这些任务分布在整个组织中。特定团队的成员通常在公司的安全政策和程序中被分配安全责任,这些政策传达期望,例如:

  • DevOps 或 IT 团队根据基于风险的、商定的时间表修补系统。
  • 采购或法律团队根据定义的过程对供应商进行安全审查,并在合同中包含必要的安全要求。
  • 人事或人力资源团队根据特定的背景调查要求筛选新员工。

为了详细捕捉期望,我们可以使用某种形式的责任矩阵,例如 RACI,来记录谁应对特定安全相关活动负责、问责、咨询和知情。除了记录期望之外,导致创建责任矩阵的讨论可以暴露分歧或覆盖差距,以便组织有机会解决它们。

更广泛地说,组织通常依赖安全意识计划来澄清哪些安全责任适用于所有人员,包括以下事项:

  • 根据公司指南和组织的数据分类方法处理信息
  • 注意可能表示网络安全事件或诈骗的可疑活动,并报告以供调查
  • 在从事业务活动时使用已建立的包含安全要求或防护栏的模板、库和标准
  • 在适当情况下联系安全团队寻求指导,例如在启动需要安全或隐私考虑的新项目时

澄清了公司网络安全计划的成员应做什么后,我们需要考虑如何跟踪这些责任是否被遵循,并在可行时强制执行期望。

强制执行问责

即使有最好的意图,那些主要工作不是网络安全的人有时也会忘记或不履行其安全相关责任。为了提高分布式安全措施生效的机会,我们可以结合使用三种方法:

  1. 使用技术强制执行安全期望,以防止不安全的选择或行动。例如,安全团队可以配置用户身份验证以要求双因素认证(2FA),而不是仅仅提醒员工启用 2FA。另一个例子是,可以设置软件开发工具来阻止包含秘密或易受攻击依赖项的代码提交。此类措施消除了不合规的机会;然而,直接强制执行并不适用于所有安全控制和情况。例如,某些应用程序不允许组织集中控制 2FA 设置。

  2. 针对严重风险实施防护栏,当人们采取行动或做出超出组织认为合理边界的决定时。例如,基础设施即代码工具(如 Terraform)允许创建具有最低安全要求的预批准模块,同时让工程师控制基础设施的其他方面。同样,软件开发人员可能需要在生产环境中遵循严格的变更控制实践,而在开发环境中有更多自由度。防护栏的另一个例子是使用网络安全措施,如 DNS 过滤,以限制对危险网站类别的访问。

  3. 监控差距并在未采取正确安全步骤时采取行动。通过日志聚合观察安全相关活动是其中的一部分。另一部分是持续合规监控,旨在自动化跟踪安全控制。例如,为了确认背景调查的发生,我们可以查询人力资源和背景调查系统以检测遗漏的员工筛查。此外,现代资产管理方法涉及从多个来源收集数据以识别差距;例如,组织可以关联系统管理和端点安全工具的数据以识别缺少安全代理的系统。

在众多安全控制中,确保补丁管理的问责尤其具有挑战性,因为这种做法通常将责任分配给多个团队。软件可能由 DevOps、IT、开发人员、外部供应商等修补。甚至可以将一些修补责任分配给最终用户,只要跟踪问责。例如,可能允许人们安装未被 IT 团队集中管理的批准应用程序。在这种情况下,个人应保持应用程序最新。组织可以使用自动化工具跟踪应用程序未维护的时间,并联系最终用户提醒他们采取行动(参见真实示例)。

建立个人联系

在分配安全任务时,我们一直在探索对抗责任分散原则的方法。传达期望和强制执行问责是确保人们不忽视其责任的努力的一部分。对抗责任分散的另一种方法是在个人与手头任务之间建立个人联系。在网络安全背景下,这意味着什么?

人们习惯于他们在工作中使用的系统。许多人开始将公司提供的笔记本电脑视为“他们的”笔记本电脑。在某种程度上,他们将保存工作文档的文件夹视为“他们的”文件夹,将他们自定义的应用程序视为“他们的”应用程序。安全团队可以指出这种依恋,以强调个人与此类资产的连接,因此他们更可能记住相关的安全责任。例如:

  • 当最终用户对其笔记本电脑有修补责任时,例如,如果他们需要重启系统或允许应用更新,提醒人们这些是他们的系统。保持笔记本电脑处于最佳状态允许他们做最好的工作。
  • 当人们需要记住在项目或设计讨论中包含安全时,强调保持其数据安全的好处,他们在考虑安全专家的建议时更可能实现这些好处。提前解决安全风险将最小化对其项目中断的机会。
  • 当强调同事需要保护与第三方共享的数据时,指出如果他们不遵循必要的安全措施,他们的互动可能会受到损害。如果数据被不当处理或滥用,不仅公司看起来糟糕,他们也会。

在利益相关者之间分享安全责任时,还应指出组织人员希望实现的共享业务目标。为了成功,同事应理解组织的业务目标以及他们的安全责任如何能够使公司实现或阻碍这些目标。通过在该背景下构建安全任务,您更可能建立一个可扩展的安全计划,使安全真正成为每个人的责任。

更新于2023年11月3日
Lenny Zeltser

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次