正文

现在,安全为什么都爱谈治理?

admin
admin V管理员 /0 评论 /93 阅读
1108
此篇文章发布距今已超过163天,您需要注意文章的内容或图片是否可用!

如果加星标,可以及时收到推送

《安全到底》第201篇,锐安全总第289篇原创,

本文1498字,阅读时长4分钟

关注“锐安全”公众号,后台回复:安全架构,你将获得《安全建设参考架构体系全景图》的PPT版本,里面每个模块都可以编辑修改,欢迎你来构建自己的“架构全景图”!

锐安全文章《》,提出了一个IT、业务、安全三融合的“安全建设参考架构体系全景图”,如今已经更新到了4.0版本。

图:安全建设参考架构体系全景图

该全景图是以商业战略为驱动、业务保障为目标、理论为指导、威胁为对象、风险为核心的企业安全建设参考架构的构建指南,能够让企业的安全建设更加可视化、规范化和价值化。

从今天开始,咱们讲全景图最左边的“IT治理框架(IT Governance)”。

这里就牵扯出一个有意思的话题:治理(Governance)跟管理(Management)到底有什么区别?为什么大家过去都在谈管理,而现在都在讲治理?

比如说,以前叫安全管理、终端管理、网络管理等,现在都改叫安全治理、终端治理、数据安全治理了。

这一字之差其实大有玄机,它代表着一种全新的视角和维度。

事实上,管理和治理并不是一对近义词,而是一对反义词。

看治理的英文“Governance”,就能大概猜出治理最早指的就是用来调节政府行为的机制。

管理和治理,它们的目标一致,都是使某个组织或群体从混乱变有序,从而提高生产力,但它们的“行为机制”不同,咱们现在看一下下图的行为机制模型。

图:行为机制模型

行为机制一般分为三层:战略层、策略层和规则层。

战略层决定行动的方向,相当于指南针;策略层决定行动的路径,相当于航海图;规则层决定具体行为的动作。

管理是战略层和策略层不动,通过约束规则层来产生期望结果;治理正好相反,是通过优化战略层和策略层来改变行为结果。

管理是先制定好一个框架,然后把所有要管理的要素都往这个框架里装,装不进去时,就开始“削足适履”。

在企业管理上,这就被称为“入模”,就是把企业当成一个模具,每个员工就是面糊,装到模具里,然后再烘烤、成型,这样就形成了一个符合某个企业价值观的“合格员工”。

企业家往往把这种情况当成是企业管理的胜利,其实恰恰相反,这种所谓的合格员工本质上就是“阉割的员工”,因为“入模”的本质就是“削峰填谷”,标准化的结果就是失去了个性和创造力,人数越多,阉割的程度就会越重。

这种感觉,就像过去皇帝常说的:“祖宗之法不可变”,规矩大于一切,比较僵化、自我、传统。

治理是根据现实情况和目标,然后选择合适的上层框架,如果现实情况发生变化,那么上层框架也要进行相应的改变。这种感觉就像改革开放,“解放思想、实事求是,发展才是硬道理”,“政府职能”主动跟“发展目标”进行适配,比较高效。

所以总结下来,管理是对执行者提出了更高的要求;而治理则是对设计者提出了更高的要求;管理是要尽量用手段避免问题的发生,宁可不做,不可做错;而治理是要尽量用手段来让问题产生更好的结果。

这下你就明白了,为什么过去的安全体系建设工作大家要强调制度。因为过去安全解决的问题相对静态,而现在安全解决的问题相对动态,安全保护对象也更加贴近客户的业务,所以整个安全体系建设工作就要基于客户的实际情况进行不同的方案设计。

所以,过去安全建设强调的是产品和能力,而现在安全建设强调的是场景和方案。

我们现在经常讲的“甲方视角”,指的是能站在甲方立场来考虑安全体系规划和建设,这本身其实包含三层意思:要熟悉甲方的“决策结构”、要熟悉甲方的“IT结构”、要熟悉甲方的“业务结构”,这样你才能设计出一个甲方视角的“安全结构”。

所以“IT治理框架(IT Governance)”就是甲方“IT结构”设计的指导构架,它目前包括五个要素:COBIT、ITIL、ISO/IEC17799、ISO/IEC 27001、PRINCE2。

这些框架的名气太大了,如果你不知道、不会讲,那根本就没办法跟客户进行正常沟通。因为有个事实你需要知道,目前甲方客户安全部门的领导,大部分都是搞信息化的领导,不懂信息化,你就没办法跟领导谈安全。

所以,咱们今天先做个热身,下周开始拆解“IT治理框架”的构成要素,下周见!

恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见!

如果对我描述的安全世界感兴趣,可以翻“没有名人作序和题词”的我为你写的一本“纯粹的安全认知之书”:

点击文末【阅读原文】,看到一个完整的安全系统

end

您的“安全架构航海之旅到了这里:

如果你对本文有任何建议,

欢迎联系我改进;

如果本文对你有任何帮助,

欢迎分享、点赞和在看

如果心生欢喜,不如做个长期朋友:)

参考资料:

[1]锐安全.安全建设参考架构体系全景图,到底是什么?, 2024年01月25日.https://mp.weixin.qq.com/s/f7CHRmmB_YLiyrJ764_12g

[2]人民网.一笔伟大遗产:重温邓小平南巡谈话,2013年08月19日.http://cpc.people.com.cn/n/2013/0819/c367209-22616965.html

题图:管理和治理

题图创作者:晓兵与AI小助手

算法提供:FLUX


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com