這篇文章很好的詮釋了為什么安全框架如此重要?
多安全公司沒有研究、開發(fā)和實(shí)現(xiàn)各種各樣的項(xiàng)目框架不也運(yùn)營(yíng)的還行么?那我們?yōu)槭裁催€要專門弄個(gè)團(tuán)隊(duì)來干這事兒呢?然而,“運(yùn)營(yíng)得還行”本身就是答案的一部分。在缺乏可見后果的情況下,安全主管和從業(yè)員工需要遵循框架來更有效理解自己的工作。
首先,得承認(rèn)信息安全是一門歷史不足30年的新興學(xué)科。與IT其他方面和非計(jì)算機(jī)相關(guān)產(chǎn)業(yè)相比,信息安全還只處于嬰兒期。不過,隨著這一行業(yè)的成熟發(fā)展,杰出的領(lǐng)導(dǎo)者們開始共享自己的成功與困難,發(fā)展出供其他人遵循的模式。這些模式從口耳相傳的話語(yǔ),演變成了業(yè)界支持的正式框架。
安全框架就是為了給各種程序性安全機(jī)制的設(shè)計(jì)提供參考,以便確保我們能從全行業(yè)的成功和失敗經(jīng)驗(yàn)中獲得益處。
制定框架與征求1000名密友(財(cái)富1000強(qiáng)公司)同意訂披薩很類似。制定旨在提供廣泛輔助的模型或框架,并非努力找出共同點(diǎn)來讓每個(gè)人都高興。而是努力定義一個(gè)能讓最少的人大為光火的框架。可以設(shè)想一下負(fù)責(zé)組織賽跑的情形。基本上每個(gè)人對(duì)需要設(shè)置起點(diǎn)和終點(diǎn)都沒有異議,但中間的部分,可以爭(zhēng)論的地方就太多了。
那么,為什么框架是折磨安全公司的諸多問題的解呢?安全公司面臨的兩大挑戰(zhàn),一是可復(fù)現(xiàn)性,二是標(biāo)桿管理。安全企業(yè)難以復(fù)現(xiàn)同時(shí)代公司及同行的成功——特別是每家企業(yè)都感覺像是獨(dú)一無二的雪花。標(biāo)桿管理是隨著高管們開始在行業(yè)內(nèi)交流經(jīng)驗(yàn)而在業(yè)內(nèi)興起的東西。
試想一下在財(cái)富1000強(qiáng)公司里建立網(wǎng)絡(luò)威脅情報(bào)(CTI)項(xiàng)目的情形。該怎樣利用同行在醫(yī)療健康公司處得到的教訓(xùn)和經(jīng)驗(yàn),來設(shè)計(jì)對(duì)金融服務(wù)公司有效的CTI項(xiàng)目呢?另外,又該怎樣避免因產(chǎn)品驅(qū)動(dòng)而創(chuàng)建的具有可互換組件的項(xiàng)目呢?答案是:實(shí)現(xiàn)既規(guī)定了每個(gè)CTI項(xiàng)目都需要的核心功能(做什么),又留出單個(gè)用例具體實(shí)施細(xì)節(jié)(怎么做)的框架。這就在創(chuàng)建了靈活性的同時(shí),又持有標(biāo)準(zhǔn)供多市場(chǎng)垂直行業(yè)進(jìn)行比較(標(biāo)桿管理)。
從結(jié)果起步的模型能讓人理解朝向的目標(biāo),解決有效性問題。可以跨定義好的功能、核心和元素建立起一系列形成結(jié)果的能力。這些能力是從一些需要資源(人、過程、技術(shù))來運(yùn)營(yíng)的活動(dòng)中建立起來的。
如果你想要的結(jié)果是擊敗2016 F1賽車總冠軍車隊(duì),你就需要一個(gè)框架。既然有了目標(biāo),現(xiàn)在需要的就是獲得那些功能性元素,或者說,構(gòu)建磚塊。
基本構(gòu)建磚塊是車輪、引擎、車架、機(jī)師、工程師、老板、媒體關(guān)系和其他上百萬(wàn)個(gè)組件。然后,可以開始搬磚了——拿機(jī)師舉個(gè)例子,要確保他們有能力在2.8秒內(nèi)換完4個(gè)輪子。為了擁有這種能力,你至少得要12名機(jī)師、車輪、氣動(dòng)工具和其他東西。這些就是你的資源。最后,你還需要分析出該怎樣衡量是否已經(jīng)成功打敗該冠軍車隊(duì)的方法。
在現(xiàn)實(shí)世界中,度量似乎很簡(jiǎn)單——上述案例中,跟蹤單圈計(jì)時(shí)便可知。但在數(shù)字程序開發(fā)的世界,潛在度量的迭代太多了,而它們之中又極少有表達(dá)性和可復(fù)現(xiàn)性都足以和業(yè)務(wù)相關(guān)的。
那么,怎樣打造一個(gè)有效的CTI項(xiàng)目呢?從確定你想要的結(jié)果開始。自此,你可以壘砌功能性構(gòu)建磚塊,找到你需要開發(fā)出哪些能力來支持你的結(jié)果。然后,草擬出構(gòu)建這些能力所需的活動(dòng)和資源。最后,找出衡量評(píng)價(jià)的方法。就這么簡(jiǎn)單。
然而,事情實(shí)際上并沒有敘述的那么簡(jiǎn)單。拿出一個(gè)框架需要成千上萬(wàn)小時(shí)對(duì)公司及其運(yùn)營(yíng)的研究分析,然后再?gòu)倪@些仔細(xì)觀察和分析的數(shù)據(jù)中構(gòu)建出模型。不如去找一個(gè)符合自家公司項(xiàng)目要求,適合公司方向和特定需求的框架。找到這么一個(gè)框架,采納它,持續(xù)應(yīng)用之。今天開始應(yīng)用的框架,或許就是你明天調(diào)整預(yù)算需求、額外人員和促銷的途徑。
【本文是51CTO專欄作者李少鵬的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
