宅在家里的你,是否也無聊到數大米粒,是否將菜譜從頭做到尾,是否擼貓、擼狗打趣兒呢?
請珍惜好這一段百無聊賴的“蝸居”時光吧!這段時間,有的小伙伴在忙著刷劇,而有的小伙伴可是在忙著漲知識呢!
2月21日,青藤云安全將攜手北京中測安華科技有限公司聯合舉辦在線直播,深入探討安全合規問題,對此話題感興趣的伙伴們,可在文末掃碼加入!下面,小編先帶您探究一下安全與合規的關系。
安全與合規,就好像是一枚硬幣的兩面。很多情況下,我們會看到合規人員和開發人員以及安全人員融洽相處,但偶爾也會發生摩擦。舉例而言,A正在按DevOps原則,審核公司為一個客戶開發的一款SaaS產品。B是一名開發人員。A表示,B的工作不符合所評估的框架。B很生氣,他說:“這款產品肯定是安全的!”合規人員回答說:“是的。雖然安全方面經過了精心研究,細心打磨,但安全與合規是不相同的!”當然,也可能出現相反的情況。某些時候滿足合規性要求但確是不安全的,但是各類標準頒發的初衷就是為了實現基礎性安全。
如果我們用維恩圖說明這種情況,安全與合規將會是兩個孤立圓圈,只有邊緣相接。但理想的情況是,安全和合規為了實現共同目標,有更大的重疊。安全和合規人員可以通過哪些方式實現共贏呢?
01 殊途同歸,為共同目標而奮斗
當談到安全與合規兩個目標時,可以歸結為一個詞:風險。
風險管理是安全團隊和合規團隊同時存在的原因所在,并且這兩個團隊應該為了這個共同目標而共同努力。兩個團隊都應該設計、建立和實施控制措施,保護組織機構的安全。有這么多共同點,這兩個團隊應該是天然的盟友,而且大多數情況下是這樣。那么,為什么還會有安全與合規發生沖突的情況呢?
通常,安全人員可以使用一些工具來實現資產清點、風險發現、入侵檢測,開發和設計安全架構來保護動態數據和靜態數據的安全。采取了這些工具和流程后,安全人員就可以保護和保護組織的信息和技術資產。盡管合規可能是也一項業務要求,但這不是安全團隊的主要關注點或任務。
雖然合規團隊也對管理風險感興趣,但其職責范圍不僅限于信息資產。政策、法規和法律不僅涵蓋信息風險,還涵蓋了物理、財務、法律或其他類型的風險。合規的作用是確保組織符合諸如此類的要求。為此,合規團隊將進行審核、采訪、報告和溝通。這樣看起來,安全和合規團隊要做的事情,并不相同,但他們有一個共同的目標:保護企業安全。
從上述對兩個團隊的介紹,我們可以看出,安全團隊主要是處理技術,而合規團隊更多地是需要“文字證明”。
合規團隊主要是處理語言文字,他們通過制定政策來滿足這些規則,保護業務免受其他已知風險的影響。安全團隊的任務是實施控制措施,而合規團隊則負責確保這些控制措施得到了實施。前者只需要向自己保證,他們的控制措施已經到位并且可以按預期運行。后者則需要一份證明,這意味著拿出證據來滿足第三方的要求。換言之,就是在提供證據方面,安全與合規之間產生了最大的分歧,這可能是將安全與合規結合在一起時,最具挑戰性的一個方面。
讓我們回到上面所述的示例。B從技術角度做了所有正確的事情——他的代碼寫得很好,架構設計合理,部署過程執行得很好,但是也許他缺少一些關鍵文檔來證明這種情況。合規人員可能會觀察到一個時間點事件,但是沒有書面記錄,不能保證每次都遵循流程和政策。
這就是一個重要的挑戰。流程記錄非常繁瑣,要求太多也就成了快速開發和部署的障礙。安全、開發和合規之間就存在了沖突,速度、簡潔和文檔記錄之間也就需要進行平衡?
02 如何實現雙贏
那么,有什么辦法可以讓安全和合規團隊緊密的聯系在一起,形成雙贏呢?下面介紹了幾種方法。
自動化
大部分合規涉及提供證據并記錄安全團隊所做的出色工作。通過將手動流程和控制措施轉變為自動化任務,會讓安全團隊從中受益。產生最大協同作用的三個自動化領域是:
工作流—顯然,工作流是可輕松實現的目標,但是還有多少工作流需要手動操作或提交?看看有沒有機會將文檔記錄納入自動化步驟中來,看看有沒有觸發機制,啟動下一個工作流。例如,在DevOps管道中,諸如GitHub之類的工具就簡化了顯示代碼審查和請求批準的流程。
報告—如果您要手動生成報告,始終會存在失敗的風險,尤其是有頻率限制的控制措施。很容易忘記或錯過報告期限。以自動方式生成和分發報告可確保按時將報告發送給負責分析和落實的人員。
文檔—上文提到將文檔記錄納入到標準化工作流程中來,這是在日常工作中建立安全和合規的一個好方法。與報告類似,還可以實現文檔記錄的自動化。例如,可以基于環境中的觸發器生成資產和軟件列表,然后對其進行檢查以進行授權。可以對訪問審核中的用戶執行相同的操作。
溝通交流
如上文所述,“溝通”是合規團隊應做的事情。如果他們做得好,每個人的工作都會更順利些。以下是合規團隊可以交流的重要事項:
要求—這一點顯而易見,但是上述示例中,B并不知道要求。安全和開發團隊越早了解要求,便越早找到滿足這些要求的方法。
詳細信息—在傳達要求時,負責人員需要了解合規人員的要求。只是說“有防火墻”是不夠的。這是否意味著第3層就足夠了?還是我們需要7層防火墻?防火墻全部要求還是說防火墻只是控制網絡流量的一個控制措施?若合規團隊能詳細地傳達詳細、具體的要求,安全團隊就可以找到滿足其當前工作流程和技術要求的方式。
證據—提供證據的團隊要明確了解怎樣才會滿足合規人員的要求。合規人員是否會查看報告、屏幕截圖或政策文件?合規人員可能會有很多要求,清楚了解這些要求可以確保在審核時沒有或者減少不合規項。
頻率—許多控制措施和要求都有頻率限制。每年或每月都要進行一些什么事情嗎?也許控制措施是連續的,那么如何展示呢?知道某件事需要多久發生一次,安全團隊就可以提前計劃并安排這些任務。如果發現有遺漏項,這種情況非常重要,因為在審查時,可能沒有辦法回頭彌補。最佳方案是執行約束性任務所要求的次數兩倍,避免由于不可預見的情況(例如疾病)而錯過控制措施。
文檔記錄
文檔記錄可能過程繁瑣,耗時耗力,但成功進行審核則需要文檔記錄。文件記錄既是內部參考,也是合規人員要求的證據。下面是安全與合規團隊實現雙贏所需的重要文件:
控制措施—企業已同意遵守的所有控制措施的列表。這些控制措施應標明ID、名稱和描述,還可能包括頻率、環境、合規或監管框架參考以及團隊認為有用的任何其他信息。這是合規團隊要求做的事情和安全團隊要做的事情的常見列表。合規人員也喜歡看到這些內容,因為這就為他們執行審計工作提供了簡單的參考。
證據—在“溝通交流”部分也提到了證據,因為讓每個人都理解并就可以接受的證據達成一致,這一點至關重要。開發人員做完一個產品還不夠,還應該為此而得到證明!會議記錄、訪問和規則審查、報告甚至電子郵件都可以作為證據。制定一個計劃,為您所做的所有出色工作保留證據,并確保有一個固定的位置來保存。
日程表—上文我們談過了頻率,這時,就需要創建共享日歷,跟蹤頻率相關事件。用可視化的方法來展示需要何時、誰來做哪些事情,就可以更好地協調好安全與合規任務。
03 寫在最后
當安全團隊采取了強有力的控制措施來保護信息資產,并且合規團隊證明,這些控制措施已落實到位并按預期運行時,雙方就實現了共贏。實現共贏可確保安全控制措施不會失效,并且在審核時會提供所需的文檔。
