創建規則遵從文化 促進信息安全合規管理和風險管理
很多時候,在考慮建立或者擴大信息安全性并報告給高級管理層時,我們面臨的最大挑戰不是技術上的,而是文化上的。
業務經理猶豫是否應該突出有風險的領域,因為他們擔心會被人認為沒有盡忠職守。律師擔心在文件中出現漏洞,因為某些漏洞最終會對組織不利。有時,經理們不愿意對公司高層講的太多,雖然其中確實可能存在很大的風險,但是他們擔心高層不能完全理解這些信息,只會再提出一些無理的要求。
這就是我們作為安全和規則遵從管理人員所面臨的現狀。如果成熟的公司想全局把握信息安全的風險和規則遵從,這些問題都是必須首先要解決的。
與許多人所認為的相反,在尋求解決安全和規則遵從的弱點時,知識就是力量,且保持良好的透明度是一件好事。不過,要成功的跨越文化障礙,從而有效地報告信息安全狀況,是需要策略的。一些經過時間考驗的解決方案,它們可以用來解決這些阻礙有效管理信息安全風險及規則遵從的文化障礙。
培養規則遵從文化的幾個建議:
使用直白的語言——毫無疑問,在信息安全報告中決定成敗的最重要因素是語言。簡單地說,任何報告(無論是在記分卡或敘述)必須只限制使用基本的業務術語。不要使用IT術語,不使用任何模糊的縮寫,不要出現特例。一個IDS系統或其他網關設備可能有一份很好的20頁的詳細技術報告,雖然可能對技術人員有幫助,但它們不應該出現在提供給高管們閱讀的報告中。相反,應該要求寫這些報告的人去總結這些數據,使用盡可能簡潔的語言,以便讓不熟悉該項技術的人也能理解。
公開是安全的——第二大重要的因素是營造一種環境,讓人在這種環境下意識到公開是安全的。這意味著人們被允許表達他們所觀察到的潛在危險和操作失敗而不會受到懲罰,管理人員應該在條件允許時營造這樣的環境。對于觀察到的風險,重點必須放在風險評估及應對方案分析。對于操作失敗,報告重點應放在
1)發生了什么事情,
2)應該對其做什么,
3)怎么樣使它不再發生。
責怪是合作的死敵,因此任何紀律處分,必須私下進行。一旦人們開始意識到風險和失敗都可以提出來進行合理、健康的討論時,越來越多的風險就會突然被人們注意到。
重點放在解決方法上——簡單地說,要確保向管理層匯報任何重大的風險,應該包括了對該風險有一個管理層水平的評估和一個行動計劃(或至少提供一些選項)。過分強調風險本身并不能解決問題,還經常給人沒有做好份內工作的感覺。但是,提出風險的同時順帶一系列的解決方案,會強化一個事實:這個人有在做事。
讓他們做決定——當提供關于信息安全計劃的遵從規則的內容時,除了讓管理層了解情況,還應該給予他們做決定的機會。即使這意味著對于某一關注的領域只是簡單地提供了一些選擇,這也利于讓他們參與進來,并引起重視。這看上去存在風險(試想誰真的指望“禿頭老板”能做出實質性的決定?),但是當風險被解釋清楚、選擇范圍也明確時,老板們也愿意參與進來。 相信我,參與真的是一件很好的事。
從小事做起——事實上,很多企業無法從零一步建立很詳細的計分卡,這也從未發生過。從小事做起是專注更多的可以使管理人員采取行動的無害基準點(data point)(如,培訓結束,第三方管理等)。隨著管理層逐漸熟悉報告的模式和周期,他們會把注意點轉移到更敏感的話題,比如公開審計問題、控制失誤、操作事故和風險熱圖(heat map)等(后者更直接的和具體業務領域相關)。
最后,我們的目標是通過對話和接觸來建立一個規則遵從文化。從小事做起,保持格外清晰,保持緊迫。最終,人們會發現這些建議比想象中的友善,進而會進行反思,并建立論壇用來討論一系列對公司有益的問題,最終建立起可以更好為企業服務的規則遵從文化。
【編輯推薦】
