宅在家里的你,是否也無(wú)聊到數(shù)大米粒,是否將菜譜從頭做到尾,是否擼貓、擼狗打趣兒呢?
請(qǐng)珍惜好這一段百無(wú)聊賴的“蝸居”時(shí)光吧!這段時(shí)間,有的小伙伴在忙著刷劇,而有的小伙伴可是在忙著漲知識(shí)呢!
2月21日,青藤云安全將攜手北京中測(cè)安華科技有限公司聯(lián)合舉辦在線直播,深入探討安全合規(guī)問(wèn)題,對(duì)此話題感興趣的伙伴們,可在文末掃碼加入!下面,小編先帶您探究一下安全與合規(guī)的關(guān)系。
安全與合規(guī),就好像是一枚硬幣的兩面。很多情況下,我們會(huì)看到合規(guī)人員和開發(fā)人員以及安全人員融洽相處,但偶爾也會(huì)發(fā)生摩擦。舉例而言,A正在按DevOps原則,審核公司為一個(gè)客戶開發(fā)的一款SaaS產(chǎn)品。B是一名開發(fā)人員。A表示,B的工作不符合所評(píng)估的框架。B很生氣,他說(shuō):“這款產(chǎn)品肯定是安全的!”合規(guī)人員回答說(shuō):“是的。雖然安全方面經(jīng)過(guò)了精心研究,細(xì)心打磨,但安全與合規(guī)是不相同的!”當(dāng)然,也可能出現(xiàn)相反的情況。某些時(shí)候滿足合規(guī)性要求但確是不安全的,但是各類標(biāo)準(zhǔn)頒發(fā)的初衷就是為了實(shí)現(xiàn)基礎(chǔ)性安全。
如果我們用維恩圖說(shuō)明這種情況,安全與合規(guī)將會(huì)是兩個(gè)孤立圓圈,只有邊緣相接。但理想的情況是,安全和合規(guī)為了實(shí)現(xiàn)共同目標(biāo),有更大的重疊。安全和合規(guī)人員可以通過(guò)哪些方式實(shí)現(xiàn)共贏呢?
01 殊途同歸,為共同目標(biāo)而奮斗
當(dāng)談到安全與合規(guī)兩個(gè)目標(biāo)時(shí),可以歸結(jié)為一個(gè)詞:風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)管理是安全團(tuán)隊(duì)和合規(guī)團(tuán)隊(duì)同時(shí)存在的原因所在,并且這兩個(gè)團(tuán)隊(duì)?wèi)?yīng)該為了這個(gè)共同目標(biāo)而共同努力。兩個(gè)團(tuán)隊(duì)都應(yīng)該設(shè)計(jì)、建立和實(shí)施控制措施,保護(hù)組織機(jī)構(gòu)的安全。有這么多共同點(diǎn),這兩個(gè)團(tuán)隊(duì)?wèi)?yīng)該是天然的盟友,而且大多數(shù)情況下是這樣。那么,為什么還會(huì)有安全與合規(guī)發(fā)生沖突的情況呢?
通常,安全人員可以使用一些工具來(lái)實(shí)現(xiàn)資產(chǎn)清點(diǎn)、風(fēng)險(xiǎn)發(fā)現(xiàn)、入侵檢測(cè),開發(fā)和設(shè)計(jì)安全架構(gòu)來(lái)保護(hù)動(dòng)態(tài)數(shù)據(jù)和靜態(tài)數(shù)據(jù)的安全。采取了這些工具和流程后,安全人員就可以保護(hù)和保護(hù)組織的信息和技術(shù)資產(chǎn)。盡管合規(guī)可能是也一項(xiàng)業(yè)務(wù)要求,但這不是安全團(tuán)隊(duì)的主要關(guān)注點(diǎn)或任務(wù)。
雖然合規(guī)團(tuán)隊(duì)也對(duì)管理風(fēng)險(xiǎn)感興趣,但其職責(zé)范圍不僅限于信息資產(chǎn)。政策、法規(guī)和法律不僅涵蓋信息風(fēng)險(xiǎn),還涵蓋了物理、財(cái)務(wù)、法律或其他類型的風(fēng)險(xiǎn)。合規(guī)的作用是確保組織符合諸如此類的要求。為此,合規(guī)團(tuán)隊(duì)將進(jìn)行審核、采訪、報(bào)告和溝通。這樣看起來(lái),安全和合規(guī)團(tuán)隊(duì)要做的事情,并不相同,但他們有一個(gè)共同的目標(biāo):保護(hù)企業(yè)安全。
從上述對(duì)兩個(gè)團(tuán)隊(duì)的介紹,我們可以看出,安全團(tuán)隊(duì)主要是處理技術(shù),而合規(guī)團(tuán)隊(duì)更多地是需要“文字證明”。
合規(guī)團(tuán)隊(duì)主要是處理語(yǔ)言文字,他們通過(guò)制定政策來(lái)滿足這些規(guī)則,保護(hù)業(yè)務(wù)免受其他已知風(fēng)險(xiǎn)的影響。安全團(tuán)隊(duì)的任務(wù)是實(shí)施控制措施,而合規(guī)團(tuán)隊(duì)則負(fù)責(zé)確保這些控制措施得到了實(shí)施。前者只需要向自己保證,他們的控制措施已經(jīng)到位并且可以按預(yù)期運(yùn)行。后者則需要一份證明,這意味著拿出證據(jù)來(lái)滿足第三方的要求。換言之,就是在提供證據(jù)方面,安全與合規(guī)之間產(chǎn)生了最大的分歧,這可能是將安全與合規(guī)結(jié)合在一起時(shí),最具挑戰(zhàn)性的一個(gè)方面。
讓我們回到上面所述的示例。B從技術(shù)角度做了所有正確的事情——他的代碼寫得很好,架構(gòu)設(shè)計(jì)合理,部署過(guò)程執(zhí)行得很好,但是也許他缺少一些關(guān)鍵文檔來(lái)證明這種情況。合規(guī)人員可能會(huì)觀察到一個(gè)時(shí)間點(diǎn)事件,但是沒(méi)有書面記錄,不能保證每次都遵循流程和政策。
這就是一個(gè)重要的挑戰(zhàn)。流程記錄非常繁瑣,要求太多也就成了快速開發(fā)和部署的障礙。安全、開發(fā)和合規(guī)之間就存在了沖突,速度、簡(jiǎn)潔和文檔記錄之間也就需要進(jìn)行平衡?
02 如何實(shí)現(xiàn)雙贏
那么,有什么辦法可以讓安全和合規(guī)團(tuán)隊(duì)緊密的聯(lián)系在一起,形成雙贏呢?下面介紹了幾種方法。
自動(dòng)化
大部分合規(guī)涉及提供證據(jù)并記錄安全團(tuán)隊(duì)所做的出色工作。通過(guò)將手動(dòng)流程和控制措施轉(zhuǎn)變?yōu)樽詣?dòng)化任務(wù),會(huì)讓安全團(tuán)隊(duì)從中受益。產(chǎn)生最大協(xié)同作用的三個(gè)自動(dòng)化領(lǐng)域是:
工作流—顯然,工作流是可輕松實(shí)現(xiàn)的目標(biāo),但是還有多少工作流需要手動(dòng)操作或提交?看看有沒(méi)有機(jī)會(huì)將文檔記錄納入自動(dòng)化步驟中來(lái),看看有沒(méi)有觸發(fā)機(jī)制,啟動(dòng)下一個(gè)工作流。例如,在DevOps管道中,諸如GitHub之類的工具就簡(jiǎn)化了顯示代碼審查和請(qǐng)求批準(zhǔn)的流程。
報(bào)告—如果您要手動(dòng)生成報(bào)告,始終會(huì)存在失敗的風(fēng)險(xiǎn),尤其是有頻率限制的控制措施。很容易忘記或錯(cuò)過(guò)報(bào)告期限。以自動(dòng)方式生成和分發(fā)報(bào)告可確保按時(shí)將報(bào)告發(fā)送給負(fù)責(zé)分析和落實(shí)的人員。
文檔—上文提到將文檔記錄納入到標(biāo)準(zhǔn)化工作流程中來(lái),這是在日常工作中建立安全和合規(guī)的一個(gè)好方法。與報(bào)告類似,還可以實(shí)現(xiàn)文檔記錄的自動(dòng)化。例如,可以基于環(huán)境中的觸發(fā)器生成資產(chǎn)和軟件列表,然后對(duì)其進(jìn)行檢查以進(jìn)行授權(quán)。可以對(duì)訪問(wèn)審核中的用戶執(zhí)行相同的操作。
溝通交流
如上文所述,“溝通”是合規(guī)團(tuán)隊(duì)?wèi)?yīng)做的事情。如果他們做得好,每個(gè)人的工作都會(huì)更順利些。以下是合規(guī)團(tuán)隊(duì)可以交流的重要事項(xiàng):
要求—這一點(diǎn)顯而易見(jiàn),但是上述示例中,B并不知道要求。安全和開發(fā)團(tuán)隊(duì)越早了解要求,便越早找到滿足這些要求的方法。
詳細(xì)信息—在傳達(dá)要求時(shí),負(fù)責(zé)人員需要了解合規(guī)人員的要求。只是說(shuō)“有防火墻”是不夠的。這是否意味著第3層就足夠了?還是我們需要7層防火墻?防火墻全部要求還是說(shuō)防火墻只是控制網(wǎng)絡(luò)流量的一個(gè)控制措施?若合規(guī)團(tuán)隊(duì)能詳細(xì)地傳達(dá)詳細(xì)、具體的要求,安全團(tuán)隊(duì)就可以找到滿足其當(dāng)前工作流程和技術(shù)要求的方式。
證據(jù)—提供證據(jù)的團(tuán)隊(duì)要明確了解怎樣才會(huì)滿足合規(guī)人員的要求。合規(guī)人員是否會(huì)查看報(bào)告、屏幕截圖或政策文件?合規(guī)人員可能會(huì)有很多要求,清楚了解這些要求可以確保在審核時(shí)沒(méi)有或者減少不合規(guī)項(xiàng)。
頻率—許多控制措施和要求都有頻率限制。每年或每月都要進(jìn)行一些什么事情嗎?也許控制措施是連續(xù)的,那么如何展示呢?知道某件事需要多久發(fā)生一次,安全團(tuán)隊(duì)就可以提前計(jì)劃并安排這些任務(wù)。如果發(fā)現(xiàn)有遺漏項(xiàng),這種情況非常重要,因?yàn)樵趯彶闀r(shí),可能沒(méi)有辦法回頭彌補(bǔ)。最佳方案是執(zhí)行約束性任務(wù)所要求的次數(shù)兩倍,避免由于不可預(yù)見(jiàn)的情況(例如疾病)而錯(cuò)過(guò)控制措施。
文檔記錄
文檔記錄可能過(guò)程繁瑣,耗時(shí)耗力,但成功進(jìn)行審核則需要文檔記錄。文件記錄既是內(nèi)部參考,也是合規(guī)人員要求的證據(jù)。下面是安全與合規(guī)團(tuán)隊(duì)實(shí)現(xiàn)雙贏所需的重要文件:
控制措施—企業(yè)已同意遵守的所有控制措施的列表。這些控制措施應(yīng)標(biāo)明ID、名稱和描述,還可能包括頻率、環(huán)境、合規(guī)或監(jiān)管框架參考以及團(tuán)隊(duì)認(rèn)為有用的任何其他信息。這是合規(guī)團(tuán)隊(duì)要求做的事情和安全團(tuán)隊(duì)要做的事情的常見(jiàn)列表。合規(guī)人員也喜歡看到這些內(nèi)容,因?yàn)檫@就為他們執(zhí)行審計(jì)工作提供了簡(jiǎn)單的參考。
證據(jù)—在“溝通交流”部分也提到了證據(jù),因?yàn)樽屆總€(gè)人都理解并就可以接受的證據(jù)達(dá)成一致,這一點(diǎn)至關(guān)重要。開發(fā)人員做完一個(gè)產(chǎn)品還不夠,還應(yīng)該為此而得到證明!會(huì)議記錄、訪問(wèn)和規(guī)則審查、報(bào)告甚至電子郵件都可以作為證據(jù)。制定一個(gè)計(jì)劃,為您所做的所有出色工作保留證據(jù),并確保有一個(gè)固定的位置來(lái)保存。
日程表—上文我們談過(guò)了頻率,這時(shí),就需要?jiǎng)?chuàng)建共享日歷,跟蹤頻率相關(guān)事件。用可視化的方法來(lái)展示需要何時(shí)、誰(shuí)來(lái)做哪些事情,就可以更好地協(xié)調(diào)好安全與合規(guī)任務(wù)。
03 寫在最后
當(dāng)安全團(tuán)隊(duì)采取了強(qiáng)有力的控制措施來(lái)保護(hù)信息資產(chǎn),并且合規(guī)團(tuán)隊(duì)證明,這些控制措施已落實(shí)到位并按預(yù)期運(yùn)行時(shí),雙方就實(shí)現(xiàn)了共贏。實(shí)現(xiàn)共贏可確保安全控制措施不會(huì)失效,并且在審核時(shí)會(huì)提供所需的文檔。
