分配网络安全任务时需警惕责任扩散效应
“安全是每个人的责任"这一理念可追溯至20世纪80年代美国海军训练手册和众议院听证会。这句简洁口号背后的含义是:组织中的每个人都应为安全计划贡献力量。即便公司设有专职安全岗位,仅靠他们也无法独自保护信息资产——毕竟业务人员才是提供服务、打造产品、做出安全决策的主体。
人人有责可能变成无人负责?
如何分配网络安全任务,将这种理想化的理念落到实处?责任扩散原理表明,当人们处于群体中时责任感会降低,因为他们认为他人会采取行动。宣称安全是"每个人的责任”,结果可能变成"无人负责"。
为有效分配安全责任,我们需要采取以下措施对抗责任扩散:
- 明确期望
- 落实问责
- 在利益相关者与受影响事项间建立个人联系
明确期望
网络安全领导者通常负责设计和管理安全计划框架。在此框架下,安全团队的核心职责包括:
- 识别和追踪漏洞修复
- 设计安全措施执行系统
- 监控和调查安全事件
- 制定安全配置指南
- 为业务方提供安全指导
- 监督安全期望落实情况
而漏洞修复、安全原则应用等技术任务通常分散在各部门:
- DevOps/IT团队按风险基准时间表打补丁
- 采购/法务团队按流程进行供应商安全审查
- 人事团队按标准执行入职背景调查
使用RACI责任矩阵等工具可详细界定"执行、负责、咨询、知会"角色。除文档记录外,制定矩阵的过程本身就能暴露分歧和盲区。
更广泛的安全意识计划应明确全员责任,包括:
- 按公司指南处理信息
- 报告可疑活动
- 使用含安全要求的标准化模板
- 在新项目启动时咨询安全团队
落实问责
为确保分布式安全措施有效实施,可采用三重保障:
- 技术强制:如强制双因素认证、阻止含敏感信息的代码提交
- 风险护栏:如Terraform预置安全模块、生产环境严格变更控制、DNS过滤危险网站
- 缺口监控:通过日志聚合和持续合规监控,例如:
- 检查HR系统确保背景调查执行
- 关联多系统数据识别未安装安全代理的设备
补丁管理尤其具有挑战性,可能涉及:
- DevOps/IT团队
- 开发人员
- 外部供应商
- 终端用户(如自主安装应用的更新责任) 可通过自动化工具跟踪未更新应用并提醒用户(参见实际案例)。
建立个人联系
除明确期望和问责外,还需建立人员与任务间的个人关联。例如:
- 提醒用户"你的笔记本"需要更新才能最佳工作状态
- 强调安全设计能保护"你的数据"和项目连续性
- 指出第三方数据泄露会影响"你的声誉"
分配安全责任时,应关联组织共同目标。员工理解业务目标后,才能认识安全责任对目标实现的促进或阻碍作用。通过这种情境化表达,才能真正建立"安全人人有责"的可扩展计划。
更新于2023年11月3日