大规模网络安全策略制定的经验分享

本文分享了制定大规模网络安全策略的实践经验,包括如何识别组织环境、理解约束条件、利用有利因素,以及如何制定有效的策略内容和实施方法,涵盖了从前期调研到具体实施的完整流程。

大规模网络安全策略制定的经验分享

作为新角色的部分工作,我的首要任务之一是为卫生与社会保健部门制定网络安全策略。最近有人问我: “如何为如此庞大复杂的系统制定网络安全策略?”

我在当前和以往的工作中积累了一些关于制定跨越组织边界的大范围策略的经验,我认为这些经验同样适用于任何大型组织的网络策略制定。然而,卫生与社会保健部门的规模和复杂性使得这些经验教训在此次工作中显得尤为重要。

不要从失败开始

首先要避免从错误的地方开始。以下问题很可能会导致你无法实现任何有价值的改变:

  • 我们想要做什么?
  • 我们需要做什么?
  • 我们应该使用什么框架?
  • 我们的主要风险是什么?

这些问题是后续流程中的关键问题,但不应该作为起点。它们带有隐含的假设和偏见,会在开始时严格限制你的流程,使得后续很难突破和挑战这些假设。

识别所处环境

首先要把握的是组织环境。我将以需要回答的问题来构建这一部分,这些问题更适用于不同的组织和范围:

  • 组织存在的目的是什么?
  • 组织的关键活动或服务是什么?
  • 一线员工对安全的哪些方面有效、哪些无效有何看法?
  • 控制实施时间表、资源和范围的决策者是谁?
  • 负责任的利益相关者是谁?他们的观点、经验和知识如何?
  • 网络团队如何分配任务,他们的结构如何,他们在整个组织中与谁合作?
  • 组织其他风险是如何管理的?
  • 其他后台职能部门(法律、财务、技术、人力资源、商业等)的结构如何?
  • 提供网络成果的非网络团队是如何组织的?
  • 你现在正在管理哪些网络问题?
  • 驱动你理解的数据的可靠性和范围如何?
  • 你面临什么威胁?
  • 你被要求做什么?

我认为在继续前进之前,你需要这些问题的答案。

识别约束条件

然后你需要理解策略的约束条件。策略的约束条件既限制了可能性,也推动组织和你朝着特定方向发展。如果它们带来困难,可能会令人烦恼,但它们实际上是聚焦你能够产生实际影响活动的关键推动因素。你需要回答的一些关键约束问题包括:

  • 组织当前面临的问题是什么?这如何影响你工作的能力?
  • 组织及其环境是否真正复杂?
  • 哪些决策由你做出,哪些依赖于官僚体系或其他领导?
  • 谁控制你的沟通渠道?
  • 你有多少人,可以有多少人?
  • 组织是否拥有你需要的技能?
  • 你能多快招聘?
  • 谁决定批准职位,谁做出招聘决定?
  • 你有多少资金?
  • 你何时可以花费?
  • 资本/收入组合如何?
  • 是否有组织必须遵守的特定行业/活动法律、合作伙伴协议或工会协议?

识别有利条件

策略的有利条件为我们提供了一系列可能性。识别在实施网络策略时可能有用的有利条件的良好问题包括:

  • 有多少约束是感知的而非绝对的?
  • 在你的策略中,你可以直接改变多少环境?
  • 你的赞助者有多大影响力?
  • 你是否有关心网络问题的监管机构?
  • 组织是否以使命为驱动?
  • 组织是否具有合作性和协作性?
  • 组织是否从失败中学习?
  • 组织希望对自己做出哪些改变?
  • 哪些其他组织功能会因网络事件而受到实质性损害或限制?
  • 谁想提供帮助(内部或外部)?
  • 我们是否拥有简单性或规模优势?
  • 存在哪些其他我们可以合作的策略或项目?
  • 组织的相对购买力如何?
  • 我们作为雇主的吸引力如何?
  • 在你的行业中,你的组织有多大影响力?
  • 该行业是否具有合作性?
  • 你的组织是否公开工作?
  • 组织的商业供应商管理能力成熟度如何?

制定策略内容

一旦了解了环境、约束和有利条件,你就可以开始思考要做什么。一些能够改进策略的简单经验法则包括:

  • 找到当前有效的东西。多做这些事或投资使其效果更好。
  • 找到当前无效的东西。不要假设你会修复它;考虑停止或替换它们。
  • 从基础开始,使用策略审视组织杠杆和激励措施,以推动基础实践。
  • 你是否假设了失败?你为恢复和响应投入了多少资源?
  • 远离技术和风险,思考整体组织成果及其交付方式。
  • 策略必须描述行动或可衡量的具体变化。其他任何东西都只是一厢情愿。

现在开始思考我们之前搁置的问题,但以不同的顺序并添加一些内容:

  • 我们的主要风险是什么?我们信任这些风险分析吗?我们信任它们所依赖的数据吗?
  • 过去几年我们看到了哪些危害/事件/违规?你估计有多少漏报?我们信任我们的事件数据吗?
  • 我们需要做什么?为什么?价值是什么?我们将如何衡量成功?
  • 我们想要做什么?为什么?我们将如何衡量成功?价值是什么?
  • 存在哪些替代交付模式?(内包、外包、自动化、能力共享、能力建设等)。
  • 你的策略将留下什么遗产?
  • 我们应该使用什么框架?

如果有人挑战你的假设并且说得有道理,要准备好彻底修改你的策略草案。如果策略无法奏效,构建精美的策略价值不大。接受自尊心受挫,花时间思考并回应。

这是我职业生涯中多个角色获得的经验教训:在担任该职位至少三个月并见过一线网络和业务团队之前,尽量不要撰写你的策略。

制定网络策略的有用工具和资源

这是经典的自由发挥思维的地方。很多人非常推崇SWOT和PESTLE,我发现PESTLE很有用,但到目前为止两者都不是我首选的工具。VMOST(愿景、使命、目标、策略和战术)有效,但将其用作提示,而不是监狱。确定关键主题或支柱,围绕这些主题或支柱分组战术或活动。价值链映射和Wardley映射可以帮助处理战略支柱下的细节。决策矩阵分析对我很有帮助,因为我倾向于更视觉化和数据驱动的决策风格,我喜欢在理解了想要实现的成果后,使用这些来分析不同的交付选项。根据我的经验,事前剖析对于测试策略和计划非常出色!

Nick Hutton有一系列关于网络获胜系统的博客值得一读。这段话特别有价值:

我们如何识别可能的获胜系统?它将具有一个或多个高级特征:

  • 如果需要人力投入,这种投入将与力量倍增器结合。
  • 它将具有适应威胁的内在属性。
  • 它将基于一个假设运作,即失败是任何所谓安全系统的必然状态。

Nick Hutton, https://blog.eutopian.io/forget-solving-the-cyber-security-skills-shortage/

我还强烈推荐阅读Phil Venables的博客,了解各种与网络策略相关的文章。

我喜欢Mario Platt的博客,因为我们都对复杂性对网络安全的影响感兴趣,这是令人兴奋的内容。

实施策略

  • 计划进行比你认为需要的更多的利益相关者参与;然后加倍。
  • 确定你可以教育哪些人关于安全的知识,从而间接支持你的工作?
  • 让工作可见,也让交付摩擦可见。
  • 鼓励从活动中获得反馈,为未来的行动提供信息。
  • 确定你在运营中用于决策的数据在策略中来自何处。
  • 挑战自己进行实验,并在策略中建立活动以从中学习,而不是解决问题。

结论

这篇博客中的每个问题本身都可以成为一整篇文章,不要认为它们简单或明显,真正审视你对这些问题的答案以及它们对你的策略意味着什么。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次