呂毅:淺析組織IT和安全戰略(導論)

習近平總書記在419講話中提到“從社會發展史看,人類經歷了農業革命、工業革命,正在經歷信息革命”。安全的發展史也是如此,從農業社會的人身安全,工業社會的生產安全到信息化社會的網絡安全,逐步演進。

以網絡安全為例,在信息革命過程中已經歷通訊安全、操作系統安全、系統安全、網絡安全四階段,網絡和信息安全(以下簡稱信息安全)的內涵和外延不斷擴展,從自我保護逐漸演進至對抗和賦能。

依據職責和防護重點不同,我國信息安全從組織概念可分國家、社會、企業三層。就像軍隊保衛國家、公安保障社會、保安守護企業一樣,國家有國家力量保障網際空間安全、社會有公安網信保障社會網絡安全,企業則有安全團隊為主保障企業信息安全。要做好工作,就要理論聯系實踐,理順治理體系、高效堅定執行。在信息安全治理中,國家和社會層面有相應的立法做制度保障(憲法,刑法、網絡安全法),有相應機構設置進行執行落地,網信辦、公安部各司其職,其治理結構服務于我國國家安全戰略。認知所限,此處我們嘗試探討企業層面信息安全治理和戰略落地。

一、治理和戰略

1.1治理的內涵和作用

治理一詞源遠流長,2000多年前我國“明分職,序事業,材技官能,莫不治理”中的治理偏向于規則制定(《荀子·君道》),而國外“治理”(Governance)的來源一說是從古希臘語“引領導航”(steering)中來,意為方向指引。

自20世紀90年代開始,國內學術界對治理概念及應用展開了大討論,目前共識普遍趨向1995年全球治理委員會的定義,即治理是在相互沖突或不同的利益中進行調和并且采取聯合行動的持續的過程,其關鍵詞有二,一是利益協調,二是持續行動。照此理論,可將治理特征分解為四是四非:過程而程序,協調而控制,公私兼顧而僅公共服務,持續互動而制度強制

一般而言,探討IT治理時會同時提到GRC,即治理(Governance)、風險(Rsik management)、合規(Comppliance)。三者的關系描述雖各有說法,但普遍認為治理是一種過程和方法,而不是一種結果,其是對風險和合規行為的均衡以期達到利益相關方的共同目標。

麻省理工斯隆管理學院信息系統研究中心(MIT Sloan School of Management Center for Information Systems Research)彼得·維爾(Peter Weill)在其《IT治理》(人大信息學院楊波教授譯著)一書中認為IT治理最關心的問題就是三個,誰來決策,決策什么,怎么執行,IT治理的邊界就是頂層設計而非管理執行。

與此同時,國際信息系統審計協會(ISACA)則將治理和管理以及控制項進行了對應嘗試,強調治理就是對管理的管理目標是通過IT治理創造價值,從而將治理的范圍部分擴大到管理。ISACA推出的信息及相關技術的控制目標(COBIT5)則從信息系統戰略、戰術、運營層面給出了對IT的評測、量度和審計方法。

國內信息安全治理理論跟隨IT治理理論發展,早期以咨詢公司為主,目前先進的安全治理理念則主要是來自頭部用戶的最佳實踐。

平安科技陳建先生在2018ISC大會上曾談到信息安全工作中GRC(治理、風險、控制)的關系,提出了風險管理模型。該模型以風險為核心,通過合規、安全技術實現內控目標。三部分的邏輯關系中:風險是治理的基礎(此處風險指企業面臨的內外部風險并非特指IT風險),在整體工作中以風險為指引。具體工作中,合規是基礎,金融企業最重要的資源就是聲譽和牌照,面臨的內外部監管要求是合規的基線,也是硬性要求。一方面,以合規為把手,合規是安全的輸入,是強制選項,將監管要求和業務合規需求轉換為安全技術IT語言和工具來實現,合規是安全建設剛需,也是信息安全開展的起點,安全做好了也會增強企業內控能力。另一方面,以合規為基礎,不斷提高內控能力,內控是在風險思維指導下的整體風險控制,其包括整體信譽、企業盈利等方面。

概念太抽象,此處嘗試借用信息系統項目管理師馬軍老師關于團隊管理和團隊建設區別的比喻來類比一下治理和管理,如果說團隊管理(對應管理)的目標是實現績效從80%到95%的提高,那么團隊建設(對應治理)就是實現績效從100%向150%的提高。

管理是設計方法低頭拉車,盯的是執行的效率顆粒度,目標是活著;而治理則抬頭看路,考慮的是明天該怎么走,目標是活好

雖然治理概念比較高大上,是協調、框架、協調利益,但真正讓各方達成相對一致,實非易事。如同南懷瑾先生引用的民謠“作天難作四月天,蠶要溫和麥要寒。行人望晴農望雨,采桑娘子望陰天”。其本質源于不同利益主體期待目標差異,用什么將團隊凝聚組織起來,就需要有愿景、目標和線路圖于是就出現了戰略。

1.2戰略說什么

談到治理,無法避開戰略,下面探討一下戰略和治理的差異。

典型的治理三問包括誰決策、決策什么、怎么執行,其內容類似于我們工作中的三定,定編、定職、定崗。戰略就是三定后要開展工作時依據的規劃、綱要、路線。

《易經·系辭》中“形而上者謂之道,形而下者謂之器”,道對應的就是戰略。沒有明確的因果關系,可大體將戰略規劃看成治理結構的產出,而戰略方向又會影響治理結構。

企業架構中戰略、戰術、執行三個階段可以模糊對應為治理、管理、運營,又可理解為傳統文化中的道、術、器,對應關系在部分語義環境下可通用。但一般來說,治理關注組織架構,戰略則更偏重規劃。

如同哲學三問(你是誰,從哪兒來,到哪兒去)和治理三問(誰決策、決策什么、怎么執行),戰略也有三要素,分別是愿景、使命、目標,從而形成戰略規劃。

“不謀萬世者,不足謀一時;不謀全局者,不足謀一域。”戰略是一種整體規劃而非頭疼醫頭。19世紀《戰爭論》作者克勞塞維茨對戰略的定義為:“為了達到戰爭的目的,對戰斗的運用就是戰略。”其將戰略要素分為精神要素、物質要素、數學要素、地理要素和統計要素五類。其中精神要素并定義為最重要的因素之一,這就是戰略中的愿景。

引用網絡公開資料,以某電商為例,愿景是描繪組織遵循使命并成功場景目標,譬如“一個工作、生活連接起來的生態系統”;使命是組織做事情的理由,定義為什么這么做,譬如說“讓天下沒有難做的生意”;價值觀是完成使命和實現愿景過程中的指導原則,譬如“誠實”。簡單說,使命是理由,愿景是目標,戰略是方法,價值觀是行動的原則,而戰略就是組織采取怎樣的方法來完成其使命和達成愿景。(圖片及部分內容來自“曉談巖說”公眾號,引用自BMGovernace公司)。

以房屋裝修來對治理和戰略做一個不太恰當但容易理解的例子。治理關心決策主體(誰參與意見,誰出錢,重點是誰說了算),決策內容(自裝還是外包、地板還是瓷磚、爭執解決靠嗓門還是力量),如何執行(工期、驗收標準),重在確定責權利。開工前要有個戰略規劃,愿景是什么(PS效果圖),目標是什么(老婆孩子都要兼顧),原則是什么(實用、美觀、經濟),重在統一思想。聽誰的和怎么干說不好,房屋裝修中超預算、吵架乃至夫妻反目難以避免。一般來說,為了順利過渡,治理相對虛一些,主體決策需要讓渡給家里掌權者(女士),戰略規劃相對明確(男士),考慮持續性和適用性。如若不然,一次裝修就是一次人性的拷問,那種感覺,經過都懂。

二、戰略怎么做

信息安全是IT工作的保障和底線,考慮信息安全戰略,首先要考慮IT戰略,而IT戰略又和企業戰略(業務目標)密不可分,關于企業戰略和IT戰略的關系,已經有比較深入的研究,大體的關系是企業戰略決定IT戰略,安全戰略服務于IT和企業戰略

但是我們在做信息安全戰略時,遇到的最大問題是做的業務不理解,IT不理會。雖然公認信息安全有必要,但信息安全在單位被定義為成本中心,放棄安全治理和戰略,缺乏管理支持,缺乏資源,報告層次低,安全被視為故意阻撓工作完成的因素和障礙。

那么,問題在哪里呢?

2.1業務目標、IT目標和安全目標沖突

安全戰略是安全治理的產出,也是具體實施的指引,如何確定有效的安全戰略是個技術活兒。大型組織多目標差異、社會分工細化后語言體系專業性和價值認知差異導致業務目標和IT目標,就像女人和男人一樣難以溝通。

業務部門搞不懂IT在做什么,要個寶馬給個夏利,業務談需求,IT談代碼,雞同鴨講。IT覺得業務部門那些需求腦路清奇,不能不滿足又沒法全滿足,搞一堆零七八碎的小蘿卜頭,腦路清奇的覺得自己的系統是唯一的,特殊的,不能整合的,搞了好多煙囪,但由于其業務盈利屬性屢屢能成功說服高層。時間長了,科技部門失去了IT主導權,不主動,不拒絕,不負責,實際上是一種不擔當。

實際上,業務和IT價值觀不一樣,如同談錢傷感情,談感情傷錢。誰都沒有錯,誰都以為明白對方并從自己角度認為是為對方好,就效果差點勁,就這樣嫌棄而又茍且的搭幫過日子;其實更尷尬的是安全,幫著業務找邏輯漏洞,配合IT運維做安全合規,在業務和IT同學眼中成為阻擋者和多事兒的,他們的共同樂趣是吃飯睡覺懟安全。這種情況就像業主交物業費一樣,因為物業不好,業主不交物業費并羨慕鄰居高端物業,而物業因為沒有保護費和信任也失去了改進服務的動力,如此循環。電影《星際穿越》中再次提到了墨菲定律,如果事情有變壞的可能,不管這種可能性有多小,它總會發生。也如同《時間簡史》中間提到的熱力學熵增定律,在不增加持續改進的力量,事物發展必然是一個自發的由有序向無序發展的過程。

2014年4月25日,微軟宣布對諾基亞的收購正式完成。次日一早,諾基亞位于芬蘭的總部大樓就正式換上了“Microsoft”的標志。時任CEO約瑪奧利拉說“我們并沒有做錯什么,但不知為什么我們輸了”。彼得格魯克談到“比起正確的做事,做正確的事情更重要”,實際上,如果方向錯了,努力只會離夢想越來越遠。

2.2戰略路線選擇

戰略經常涉及三個問題,分別是愿景、使命、目標。戰略是實現全局目標的規劃(道),而戰術是實現戰略的管理手段(術),執行是戰術的運營和反饋(器)。在多方博弈、共贏、沖突、共存中,靠單一發展帶來的紅利已基本消失殆盡,改革進入深水區,實現戰略目標,往往要犧牲部分利益,去獲得戰略勝利,唯有壯士斷腕的勇氣,刮骨療毒,才有可能不斷前行。如同《集結號》中的犧牲換來的戰略撤退,就像BAT基于成本和業務壓力去IOE,業務中臺化。

常立志不如立長志。戰略的規劃、制定和實現需要在一段比較長的時間保持穩定,期間會微調,但不會有方向性改變(經常調整的叫做“空調”),治大國如烹小鮮,多攪易爛,一般要堅持3-5年甚至更長時間。

管理大師邁克爾·波特認為,戰略的本質 是抉擇、權衡和各適其位。基辛格《論中國》一書中對抗戰時期到21世紀初我國外交策略進行描述,隨著戰略方向調整,利益協調和犧牲本也是應有之意,在上世紀60年代,全國人勒緊褲腰帶投入28億研發原子彈,從而解決當時的國際地緣政治困局,這就是戰略。

舉例來說,企業戰略是合規履職,實現核心業務盈利,或達到社會效益;那信息化的戰略是通過科技技術和手段支撐單位合規履職,保障某某盈利目標;而信息安全的戰略則更具體,譬如通過安全保障做到數據中心(開發中心)網絡、系統、數據平穩運營,實現CIA三性,保障信息化戰略,從而逐步細化,逐步分解。平安科技陳建先生在2018ISC大會對三層戰略進行了梳理,逐步細化,層層依存(如圖)。

企業、IT、安全戰略形成一致的重點在于,要用三方都聽得懂的語言進行溝通,保障各利益相關方利益一致(注意,利益一致不代表絕對正確),利益一致代表著互相的諒解和支持。

是做一個理論正確的戰略還是質樸正確的戰略,考驗的是管理層水平,在資源有限的情況下,戰略的難點不在于要做什么,而是先做什么和不做什么,只有把后面兩個問題回答清楚了,認清自我,實話實說,戰略才能有針對性。

信息安全治理就是這樣一個過程,定戰略,搞管理,做監控,技術落地,反饋改進。

三、信息安全戰略制定誤區

在戰略制定中,經常會遇到無法落地或者定位不準,舉例來說:有人說戰略就要入腦入心、如影隨形,像《流浪地球》中“道路千萬條,安全第一條,司機一滴酒,親人兩行淚”一樣,或者鄉村標語中“要想富,早修路,少生孩子多種樹”,以情動人,簡潔優雅。但,這是戰術口號,不是戰略。就像ISO27000中的文檔標準一樣,戰略屬于一級文檔,標準政策屬于二級文檔,守則規則屬于三級文檔,表格記錄為四級文檔。口號是三級文檔。

以信息安全為例,安全做不好,無外乎戰略不清,架構不明,執行不細,語言不通,首當其沖,還是戰略不清

3.1安全戰略定位判斷不清

雖有各類戰略規劃方法,但形成戰略規劃一定是定制的,各不相同,方法是舟,過河棄舟,但無舟也過不了河。具體情況下,IT技術雖有共性,但單位業務千差萬別。舉例來說,當單位IT是數據中心時,安全要關心的更應該是數據泄露,加密,訪問控制。當定位開發中心時,安全關心的是開發生命周期(SDL),三同步,安全編碼,安全測試。當單位定位是運營中心時,安全關心更多的是安全事件,態勢,攻防對抗。同時,也和單位IT發展成熟度相關,安全也需要根據成熟度進行規劃,忽視單位業務重點,一上來就用一套大而全并且看似理論正確的體系,在基礎設施都沒有建全的時候,態勢感知、APT、差分計算、AI防御等看似高大上的東西可能并不適合自己的定位。

道德經云,天之道,損有余而補不足;人之道,損不足而補有余。《圣經》馬太福音第二十五章:“凡有的,還要加給他叫他多余。沒有的,連他所有的也要奪過來”。好多事情到了這里,就成了哲學問題,是因為戰略不清導致安全不行,還是安全投入不足導致安全戰略不清,企業戰略選擇中是應該加大安全基礎設施投入(補安全短板),還是投入更多資源到優勢業務(拓業務長板),確實是一個問題。

簡單來說,單位業務目標決定了IT目標,IT和業務目標決定了安全目標,自上而下找好定位,自下而上做好匯報。

3.2頂層安全架構不明

頂層設計概念源于系統工程學的自頂向下設計,信息安全治理也是同樣,需要在高級管理層形成共識。

MIT斯隆管理學院對前500強企業IT建設中誰來決策分為6類,分別是業務君主制(業務高層說了算)、IT君主制(IT高層說了算)、封建制(每個業務部門獨立決策)、聯邦制(所有部門共同參與決策)、IT雙寡頭(IT團隊和業務團隊)、無政府制(業務部門和IT部門各干各的)。將IT治理關鍵決策內容分為五種,分別是IT原則、IT架構、IT基礎設施、業務需求、IT投資,通過對決策機制和決策內容的對比 ,路徑1是效率最高的。(出自彼得·維爾《IT治理》)

《禮記·中庸》:“凡事豫則立,不豫則廢。言前定則不跲,事前定則不困,行前定則不疚,道前定則不窮。”華為在二十年前(1996-1998)確立了《華為基本方法》并耗資數億請外部專業咨詢團隊開展戰略目標和頂層設計。

頂層架構會在后期進行詳細描述,從最佳實踐來看,IT原則和IT投資規模可以IT和業務共同確定以保持共同目標,IT架構及基礎設施戰略由IT保持相對獨立性,業務需求需要廣泛的共同參與。

3.3實施路徑執行不細

無法衡量的,亦無法管理。戰略實施過程中,慢就是快,把大目標分解為易于消化,可以衡量,循序漸進的小目標。天下難事必作于易,天下大事必作于細,PMP項目管理中WBS概念既是如此,WBS是任務分解表,將目標從大到小分解為任務、工作、活動。他有兩個特點,一是分解的足夠細,遵循100%原則,意即二三級目標一定會對應父目標,不會出現需求蔓延。二是給每個管理單元配備相應的資源。當組織用具體的目標進行定義后,成功的可能性會大大增加。

就像煙民戒煙,一下子戒掉會有戒斷反應。但衡量為一星期,一月,一季度逐步減少,并加以績效考核和獎懲,會容易實現的多。魔鬼藏在細節中,戰略實施路徑一開始可能不會想那么細,但必須要盡量細致,否則非常容易變成空談。

再舉個不太恰當的例子,譬如大多數人嘴上說不要,心里很誠實想拼個虎娃,但虎娃需要虎媽養。有的媽制定了具體的目標,時間目標、行動目標,以日、周、月、年劃定。目標的分解也是需求的確定過程,通過分解細化也會舍棄掉不必要內容,這樣也避免需求蔓延和需求鍍金。這樣做的媽有機會成為虎媽,沒做到的媽則主要是唬娃。

知易行難指的就是如此,畫完大餅只喊口號,不做分解和績效衡量,會極大消耗組織成員的信心。這是對管理層的考驗,我們常常看到創業型企業有一個大的夢想,具體落地實施有的成就夢想,有的成就噩夢。

3.4匯報宣講語言不通

用一個數據來說一下,信息安全的預算和人力占到科技部門的比例能做到多少直接體現出安全是否和科技以及單位業務形成一致。國外銀行業平均比例在5%-8%之間,國內銀行業平均水平在3-7%左右。國外信息安全投入IT占比在歐美20%,日本10-15%,國內官方要求一般在5%或以上。但實際上,好多單位安全年度投入在3%甚至更低。

實際上,投入不足是因為單位沒錢嗎?目前來看,并不全是。在網安法和等保等一系列合規要求意即網信辦的要求下,以預算制單位為例,信息安全資金比例是要有保證甚至做考核要求,而安全投入不足根本原因在于沒有進行合理有效的向上匯報溝通。

譬如,在向高級管理層匯報信息安全情況時,只談今年挖了幾個洞,擋了多少次攻擊,估計管理層關心不過來細節,沒時間聽,也真沒必要聽,財務、統計、市場、監管還有那么多重要的事兒要做。

管理層是車輛駕駛員,企業是車。安全帶和剎車不可少,但開車過程中更要關注環境,路況,保持對油量、車況的適當警惕,而不是隨時看著安全帶和剎車是否失靈(盡管事故中剎車不靈是主因、而安全帶能救命)。向管理層匯報安全技術細節是典型的匯報語言不一致,沒有通過業務的視角對安全內容進行匯報。正確的匯報方式是通過監控剎車磨損計算出多少事故率,通過安全帶檢查可以避免多少傷亡,更高級一點是通過對胎壓、發動機監控可以提前開展車輛保養避免拋錨,安全的匯報要基于安全投入前和安全投入后收益的增加,這也是ROSI(安全投入收益率,等于安全投入前損失估ALE1減去投入后損失估算ALE2)概念,如果評估后安全投入大于損失估算,可以通過購買保險方式轉移或者干脆接受風險。

3.5戰略制定過程中的誤區

失敗像是成功的影子,人不會沒有影子,但知道影子的位置就該往有光的方向走。在做戰略前,我們雖不知怎么能接近成功,至少能規避一些前人踩過的坑,和失敗較量。

ISACA在戰略制定中指出了幾種常見的隱患,譬如貪大求全、執行不善等(類同于意識中的貪嗔癡慢疑)。一些失敗決策行為可通過行為經濟學進行解釋,包括但不限于以下幾種:

過度自信和樂觀:人們往往對自己可能做出的準確估計的能力過度自信,習慣于路徑依賴(現狀偏見),缺乏廣泛的環境分析,寧愿模糊的得出結論而忽略邏輯關系。

錨定效應:基于已知判斷未知,用目前所看到的對未來進行規劃,這一點在查理芒格的《窮查理寶典》中也有所提及,一旦自我設限確定,未來的結果會錨定在過去的經歷上。

群居本能:“蓬生麻中,不扶則直;白沙在涅,與之俱黑”。順應環境并尋求群體驗證是性格本能。但錯的內容,重復一百遍也是錯誤,需要進行獨立思考,而不是順從大眾。信息系統咨詢師方樂老師講有一張圖,非常形象,一只鴨子在火烈鳥中忘記了自己是鴨子,也開始了單腿獨立。

四、戰略制定的參考方法

2016年5月17日,習近平總書記在哲學社會科學工作座談會上的講話中指出,我國要堅持古為今用、洋為中用,融通各種資源,不斷推進知識創新、理論創新、方法創新。我們要堅持不忘本來、吸收外來、面向未來。既向內看、深入研究關系國計民生的重大課題,又向外看、積極探索關系人類前途命運的重大問題;既向前看、準確判斷中國特色社會主義發展趨勢,又向后看、善于繼承和弘揚中華優秀傳統文化精華。

實際工作中,我們首先要看看別人是怎么做的,“不師古法不成我法,不變古法終非我法”(清代畫家石濤),這也是知方法但不執著于方法的境界。

戰略制定的過程中,企業架構(Enterprise Architecture,EA)是基礎,以下對企業架構和戰略制定方法進行探討(圖片來源于網絡):

4.1主流企業架構方法(EA)

根據維基百科,企業架構于20世紀末期源于美國,一般理解是將業務架構和IT架構進行整合,雖各方對架構理解有所差異,但都包括了愿景(口號)、目標(做成什么樣)、組織架構、角色等。主要的EA框架有TOGAF、Zachman,EAP,FEA,DoDAF。目前主流的企業架構發展規劃遵循兩條路徑,Zachman和TOGFA。由于TOGAF同時提供了一套架構方法,目前應用較為廣泛,EA中有50%以上占有率。(TOGAF2009年調研報告)

幾個企業架構定義如下:

  • TOGAF

就像醫生辦公室有骨骼圖、血管圖、神經圖、器官圖一樣,他們整體構成了人。TOGAF(The Open Group Architecture Framework)將企業架構分兩大類共四小類,企業架構中通過對兩大類(四小類)進行映射以體現企業面貌。兩大類指業務架構和IT架構,四小類指業 務和IT中的數據、應用、技術三小類。

大部分企業架構的方法都從IT架構發展而來,而同時戰略規劃輔助企業完成業務及IT戰略規劃。

①企業架構,又稱業務架構。定義了組織的業務戰略、治理、組織和關鍵業務流程。其把企業的業務戰略轉化為日常運作的渠道,業務戰略決定業務架構,包括業務的運營模式、流程體系、組織結構、地域分布等內容;

②IT架構指導IT投資和設計決策的IT框架,是建立企業信息系統的綜合藍圖,包括數據架構、應用架構和技術架構三部分。數據架構描述企業數據流向與物理數據資產位置;應用架構闡明各類系統和核心業務系統的關聯關系;技術架構描述底層所需的軟硬件能力,包括IT基礎設施、中間件、網絡、通信、處理和標準等。

TOGAF不光給出了企業架構理念,同時提出了架構開發方法ADM(Architecture Development Method)。在業務戰略上,通過ADM來定義企業的愿景/使命、目標/目的/驅動力、組織架構、職能和角色。在IT戰略上, ADM詳細描述了如何定義業務架構、數據架構、應用架構和技術架構,是IT戰略規劃的指引。通過企業架構承接企業業務戰略與IT戰略,是企業信息化規劃的核心。

以上部分內容引用自CSDN博客:“從企業架構,看TOGAF為什么越來越重要?”

  • Zachman架構

Zachman和TOGAF相比,Zachman更偏向于概念層,用5W1H的方式對場景進行定義,為架構編寫提供基礎。?

而Zachman架構在信息安全中的落地,就形成了SABSA架構:

無論采用哪種架構,必須從企業業務架構開始。后續的應用程序、安全和數據架構等設計都是業務架構的子集,以確保與業務戰略和目標一致并支持業務戰略目標。

4.2戰略制定參考因素?

亨利·明茨伯格在《戰略歷程》一書中對戰略進行了說明,戰略是要管3-5年的,將戰略定位在四個方面,分別是愿景和使命(Perspective),策略和差異性(Positions),方法和執行(Plans),行動和調整(Patterns),簡稱4P。其定位可以考慮為向上看,向下看,向前看,向后看。

向上看指愿景和使命(Perspective),勾畫出企業未來的方向,愿景不是現在的樣子,要具備前瞻性并且把團隊聚合起來,而錢不是聚攏團隊的唯一方法。埃隆·馬斯克(Elon Musk)說過,他給再多錢也挖不來NASA的工程師,因為他們在做更有意義的事兒。

向下看指定位(Positions),企業戰略必須考慮現實情況,沒有千篇一律的戰略,都是根據自己情況的最佳實踐。信息安全有成熟度模型,不同成熟度,戰略必定有區別。俄羅斯革命是采用城市輻射農村,我國是采用農村包圍城市,情況不一樣,方法不一樣。

向前看指計劃(Plans),定好了方向,需要藍圖,定好里程碑節點,無法衡量的事兒也無法管理。

向后看指行動和調整(Patterns), 戰略的執行是要根據執行過程進行調整,大方向不變,但不能一成不變。搞戰略,不法于古,也不能定于一尊。

4P模型是一個方法論,和戴明環的PDCA(計劃Plan、執行Do、檢查Check、改進Action)模型有模糊的對應關系,同時和包以德的OODA的調整模型有相關性。

總結一下,戰略(Strategy)=愿景+使命+目標;規劃(Plan),戰略規劃確定后,制定一系列實施計劃并形成實施方案。

 

五、安全治理現狀

前面探討治理過程中,我們始終強調信息安全需要高層重視,技術引領,但實際工作中是否能做到未可知。舉幾個現狀:

現狀1、無法向高層提供重視依據

在03非典以前,應急處突制度還不完善,但現在我國應急管理制度從央省地縣各級都有完備的應急預案和處突機制,一把手負責,人命大于天,出了惡性事件要和考核掛鉤。某世界第一強國颶風過后還有哄搶,而我們發展中國家人民子弟兵用自己的血肉之軀擋住了長江的洪流。毋容置疑:高層重視,一把手負責,就算用最土的方法,安全也一定能實現,真是技術頂不上的時候,為了停攻擊把網斷了的事兒也發生過,唯一的區別是效率和效益。但咱們搞技術的同學們,您要學會分辨高層是真重視還是口頭上重視,同時認真細致思考其中的原因,還是那句話,為什么感覺有力使不上,務必反思自己溝通方式,這個很重要,很重要,很重要。

現狀2、安全技術和管理不協調

再探討一個問題,安全技術現在真的做的足夠好了嗎?實際上,網絡安全一直處于不斷的變更過程中,都說技術變化快,但誰變化不快呢,從02年到現在,除了股市沒變,各種風口輪流變了一次,銀行業數據中心都走完了分散、集中、分布式一個輪回了,還沒有什么是技術解決不了的問題,如果有,那就是管理。網絡安全做好不光是技術流,還包括組織架構、人員意識、政策符合度、能力水平。實際上,盡管我們防護的內容從傳統PC和服務器擴展到了大物移云,但技術的種類和專注度比以往好了很多,安全技術雖仍有瑕疵,但不斷變好,逐漸靠技術將人解放出來。另外,一些傳統部委,人員編制不足,安全技術緊缺,但安全協調和管理水平很高,策略執行力強,安全一樣非常出色。

那么問題來了(敲黑板):天天說安全難做,到底難在那里呢?實際上,下真工夫做安全技術不難,高層思想和口頭都重視安全也不難,難就難在組織戰略、企業戰略、安全戰略一致性,安全不光是管理和技術,需要的是安全治理和戰略落地,從治理到戰略到管理的規則設計,落地在執行的效率。

高層時間真的有限,不能幻想高層知曉一切技術細節,不合理也不現實,無論什么情況下,單位業務是第一要務。安全需要的是達成共識,各司其職。達成共識的底層基礎在于做安全的人必須能夠說清楚安全到底是什么,怎么樣做才安全,這就要求安全人員從技術細節中跳出來,在一個相對高的層面進行匯報。安全做的好不好,往往是是否和高層達成真正共識,達成共識的前提是是否理解業務戰略。

知行合一,認知到了而不行動,是偽認知;行動了卻沒有認知基礎,為盲行。安全發展就像IT成熟度一樣,在組織自身不斷進化過程中不斷和高層達成真正的一致,需要動態調整。

那么,理想的IT相關治理應該是什么樣子呢,在《IT治理-一流績效企業的IT治理之道》P144-149進行了描述,應該有以下特征:

  • 更多領導層的管理者們可以描述IT治理。企業中高層能夠準確描述IT治理的比例是IT治理是否成功的首要標志。
  • 使用,使用,再使用。通過不停的使用。治理需要儀式感,通常采用相對正式的會議與成員進行溝通。溝通方式包括但不限于高級管理層聲明、正式委員會、首席信息官辦公室、溝通例外、發布規范并執行。
  • 高層領導者更直接的參與IT治理。
  • IT投資具有更加清晰的業務目標。通常包括但不限于降低成本,改進客戶服務,增強溝通,提升質量。
  • 更多差異化的業務戰略。遵循共同的價值觀(成本約束、復用),鼓勵支撐業務戰略。
  • 例外都走正式批準流程。大禹治水,堵不如疏。不鼓勵例外,但例外必須有正式批準流程,否則對遵循規則的人是傷害。
  • 治理變更的次數逐年減少。意味著和企業契合度的上升。

六、安全戰略線路圖

理清了企業戰略、IT戰略、安全戰略的關系,下面探討一下如何做安全戰略。從已有戰略制定方法,可以將企業戰略和IT戰略映射到安全戰略中,梳理如下:

6.1安全戰略開發方法

安全戰略需要做的是將業務戰略、IT戰略和安全戰略結合落地,有幾種成熟分方法可以用來做參考。

一是ISACA對信息安全戰略開發過程進行了描述(來源:ISACA,Information Security Governance,2008)

二是從Zachman發展來的SABSA對信息安全戰略概念進行描述如下:

6.2信息安全整體框架體系

綜上,依據治理、管理、運營三個層級,從戰略、戰術、執行三個層面,對應到各層級所需方法和框架,筆者試著進行了方法論的梳理,同時增加了安全控制內容,以期通過測量進行控制項落地。

企業治理:方法以TOGAF,ZACHMAN為主,TOGAF相對來說提供了架構開發方法ADM,而ZACHMAN則在理念層面提供一種思路。

IT治理:IT治理中方法比較多,典型的參照COBIT,將IT治理和IT管理結合起來。其中治理EDM包括(評價、指導、監控),管理PDRM(計劃、構建、運行、監控)。同時,在流程管理中需要采用ITIL的方法進行。

安全治理:從ZACHMAN模型對應出來的SABASA模型對信息安全治理進行說明,此處對應信息安全一級文檔,戰略、總綱方針。

安全管理:管理是戰略的落地,典型的參考架構是信息安全管理體系標準(ISMS)(ISO27000標準族),同時參考質量管理的六西格瑪和成熟度模型,國內對應的是等保的管理要求,對應信息安全二級文檔,標準、策略。管理三要素可大體用PPT三個字母代替,分別表示人員管理,流程管理和技術管理,通過管理要素最終實現業務價值。關于管理三要素和價值可參見以下鏈接:

人員:談銀行業網絡安全人才觀

管理:從運維到運營,信息安全進化論

技術:從攻擊視角構建彈性信息安全防御體系

價值:信息安全價值及落地

安全控制:無論技術、物理或者程序控制,其本質是監管流程。安全控制是安全運營的內容,關注控制項和運營指標設定,對應手冊、規范、流程、基線等。

基于以上四層,個人理解圖示如上(原創):

在各層均有相應可參照的標準和框架方法,值得一提的是TOGAF和COBIT均具備了一定的框架開發能力,可以沿用方法對企業架構,IT架構進行對應管理,27002中14個方面的114個控制項,等保中的控制項均可以按照適應性進行選取。具體方法和對應請參照相關框架方法或后期專題進行說明。

?

導論結語:

治理是個系統工程,自上而下是改革,事半功倍;自下而上是變革,事倍功半。改變是有風險的,歷史上商鞅和王安石就是例子,但若不改變,諾基亞就是明證。

資源總是緊缺的,如何發揮安全的效率成為重點。高效改革和演進的根源就在于如何和管理層處于同一溝通頻道上,用共同的語言探討共同的目標,從單位戰略角度看安全的定位,獲取對安全的信任和對風險的管控,從而保證安全可以有效支撐單位業務。簡單來說,就是將網絡安全戰略和單位戰略形成一致做到這點,安全就已經成功一大半了,剩下將框架落地就是考驗基本功的時刻。

另外,知道方法不等于生搬硬套方法,參考方法但不執著于方法,過河棄舟。買了一輛賽車,并不代表你就成了賽車手,明白了企業架構治理,也要找到一個能夠讓架構真正發揮價值的環境,而非架構本身,需要根據自身企業環境進行定制改良。馬云先生2018年在湖畔大學中談到愿景、使命、價值觀,每個單位的戰略都是不一樣的,不可復制,也是同樣的道理。譬如復雜地形更需要的是越野車而非跑車,崎嶇山路運載低價值生活物資五菱宏光可能更適合,等整體環境成熟了再上AE86。對于企業,貼合自己的就是最好的,需要從自己的實際環境出發考慮業務架構和IT架構的融合。

最后,企業架構驅動往往代表著打破部門壁壘,企業架構是通過IT治理進行落地的,而IT治理過程代表勢必會導致組織架構流程調整,還是那個問題,業務不斷演進,紅利逐漸使用殆盡,要么改變,要么被改變。

 

參考資料:

1.《IT治理》(彼得·維爾著,楊波譯)

2.《互聯網+時代的IT戰略、架構與治理》(劉繼承編著)

3.《IT架構思維》(Peter Beijer著,程志剛等譯)

4.ISO 27000系列標準

5.TOGAF標準9.1版(The Open Group著,張新國等譯)

6.CISM(Certified Information Security Manager)手冊

7.談銀行業網絡安全人才觀(呂毅,中國信息安全 2018年第12期)

8.從信息安全運維向信息安全運營進化的探討(呂毅,計算機工程與應用 2018年)

9.基于攻擊視角完善信息安全彈性防御體系的思考(呂毅,金融電子化2018年第6期)

 

 

 

致謝:編寫過程中,得到了平安科技陳建先生的指導,關于安全治理和戰略方面多有收獲。建信金融科技公司付曉巖先生關于IT治理和中臺的思路對本文啟發很大,還有安全咨詢師方樂老師憑借十多年咨詢經驗答疑解惑,一并致謝。另外,在和聶君先生長期溝通中,獲取了相當多實踐知識,他和李燕、何楊軍共同編寫的《企業安全建設指南》對安全架構思路特別是具體落地進行了詳盡描述,推薦參閱。

 

致歉:資料梳理中有諸多不足,最直觀的感覺是框架太大,太虛,就像盲人摸象,很難抓住重點,脈絡不好把握。盡管如此,IT治理和信息安全戰略思路再難也要去試著啃一下,雖比較抽象,但嘗試對已有框架進行整理,作為以后繼續探索的靶子,拋磚引玉。如有不足和理解偏差,皆因自我理解不深,一并致歉,歡迎互相探討。另,文中引用內容及圖片均進行標注,如有遺漏或版權問題請及時聯系本人更改。

 

作者簡介:

呂毅,銀行業信息安全從業人員,高工,信息系統項目管理師(高級),CISSP、CISM(ISACA)、CISP,多次獲得銀行科技發展進步獎。17年信息系統管理及安全建設運維實踐經驗,長期開展安全管理及一線運維,目前從事信息安全運營、應急響應及互聯網攻防。撰寫從信息安全運維向信息安全運營進化的探討(《計算機工程與應用》)、基于攻擊視角完善信息安全彈性防御體系的思考(《金融電子化》)、談銀行業網絡安全人才觀(《中國信息安全》)等多篇文章。


微信關注“仙人掌情報站”,獲取更多原創文章

歡迎轉載并聯系仙人掌情報站

發表評論