其他一切都来自治理。如果组织弹性之旅从治理主题开始,那将是合理的。事实上,许多重要的标准或网络安全框架都是从政策制定开始的。例如:
NIST SP 800-34:应急计划的第一步是政策制定。
NIST 网络安全框架:第一步“识别”的一部分是需要制定概述角色和职责的策略。
ISO 22301和ISO 27001:了解组织后,下一部分是领导力和政策制定。
你真的愿意改变你一直在做的事情吗?
能想出比现状更好的策略或想法吗?
能执行选择的解决方案吗?
当我们研究治理和政策制定问题时,请记住这些问题。对于所有首席信息安全官来说,现在是记住软技能、预算影响和了解业务重要性的好时机。您的成功取决于此。
治理本来就是困难的
想象一下,您是一家大型企业的信息安全领导者,该企业一直在通过自身和并购不断发展壮大。在整个过程中——随着业务的火爆——发生了一些事情。您的信息安全管理实践脱离了轨道。整个流程变得太大而难以管理,每个业务部门都在做自己的事情。
如果您是一家大型企业的一员,这种情况听起来是否熟悉?可能确实如此。
这是为什么?好吧,这取决于资源管理和风险偏好。两者都可能被忽视或随着时间的推移而发生变化。然而,管理的边界和手段——比如管辖权和执行——却没有。
这就是为什么任何网络安全组织弹性路线图的前两个步骤都是识别资源和定义风险态势,并确保执行这两个步骤不是一次性的事情。恰恰相反。它们是持续的任务,将为您的治理和政策更新提供信息。例如,如果您确实想采用最佳实践,那么您的业务运作方式的任何重大变化都应该触发对您的弹性计划的治理和政策的自动审查。
集中式还是联合式?
上述两个步骤可以帮助您保持正确的心态并找到自己的边界。例如,组织弹性计划是否会渗透到隐私计划中?可能会,而且这并不总是坏事。相反,这是一个决定什么适合情况的问题,这就是治理、政策制定和执行困难的原因。
你必须问自己一些棘手的问题。例如,您会有集中的弹性计划吗?这意味着有一个专门的团队来运行该程序,如果出现问题,最高管理层将追究其责任。或者,该程序会被联合吗?在这种情况下,弹性人员将被嵌入到业务部门中。这些单位将负责复原任务。
让我们先弄清楚一件事:没有正确的答案。相反,只有适合您的正确答案。
这就是为什么如果你开始走上千篇一律的治理和政策制定的道路,而不根据你的情况进行调整,那么下游的一切——比如你的业务连续性、灾难恢复、危机管理以及测试和培训——都将变得一团糟。
这就是为什么,如果你的团队的工作方式没有发生重大改变,你的组织弹性治理应该相当严格。这些是你的指导原则,你的北极星。相反,你的复原力实践(BC、DR、CM 等)可以随着时间的推移而改变。
为组织开发正确的模型
为了充分了解组织弹性治理是否状况良好,需要进行一些自我评估。问自己这些问题:
真正了解自己的风险状况吗?
是否能够定期且频繁地对您的程序和系统进行压力测试?
程序及其配套系统能否应对今天和明天的挑战?
团队是否认真对待弹性或网络安全文化?
是否拥有成功所需的正确资源?
回到关于解决任何问题的问题。在这八个问题之间,您拥有创建治理模型所需的一切。为什么?因为,综合起来,这些问题的答案就是了解组织的罗塞塔石碑。这些问题可以帮助您深入了解谁做了什么、每个人如何工作、缺少什么以及需要做什么等浑水。
回到上面的例子:如果业务部门有不同的事件响应计划或弹性工作分布在彼此不互动的团队中,那么在事件发生后就会陷入混乱。
治理应该寻求什么结果?
想象一下组织弹性计划按以下方式管理:
政策:提供目的或原因。
标准:提供背景或内容。
程序:提供方向或方法。
指引:给你安慰,或者在你陷入黑暗时给你光明。
每一步,你都会获得更细致的细节,但顶层必须是健全的。否则,整个程序将会自行崩溃。这就是为什么在上面列出的所有组件中,必须明确确定谁对所有相关任务负有责任和义务。回到开头,这是管辖权和执行路线图。如果你回忆一下危机管理团队的情况,复原力肯定是一项团队游戏。这就是为什么了解自己的角色和界限对于成功至关重要。
最后,如果治理看起来是一项艰巨的任务,请不要害怕。它确实是,并且常常是你悲伤的根源。如果完全偏离目标,下游影响可能会很严重,并且可以肯定会有很多指责。但有一种万无一失的方法可以确保组织弹性治理模型和相关实践发挥作用。
下一篇文章中对此进行探讨:测试和培训。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...