一直以來,許多企業(yè)和安全顧問比較認(rèn)可的一個(gè)安全解決方案就是合規(guī),符合標(biāo)準(zhǔn)規(guī)定至少在某種程度上就意味著安全。
但有人認(rèn)為,應(yīng)該把兩者看做并列關(guān)系,而不是因果關(guān)系。或說兩者是互相影響的關(guān)系,安全可以有助于合規(guī),合規(guī)可以是安全的副產(chǎn)品,但安全并不能自動(dòng)成為合規(guī)的副產(chǎn)品。因?yàn)橛袝r(shí)完全在合規(guī)的情況下,也可以是不安全的。
合規(guī)是為了讓企業(yè)達(dá)到一個(gè)既定的標(biāo)準(zhǔn),表面上給了客戶或股東一個(gè)滿足整套安全標(biāo)準(zhǔn)的樣子,其實(shí)是把每個(gè)人都拖到了一個(gè)最小的安全級別。不信就看看最近發(fā)生的 一些嚴(yán)重安全事件,無論是摩根大通還是塔吉特、家得寶,索尼影業(yè),他們不都是宣稱自己企業(yè)的安全機(jī)制是合規(guī)的嗎?很明顯,這些案例中,要么有些人在撒謊, 要么所謂的“合規(guī)”實(shí)際上是不合規(guī)的。
合規(guī)的問題在哪里?
對 于推動(dòng)合規(guī)的咨詢顧問和培訓(xùn)認(rèn)證行業(yè)來說,如何平衡企業(yè)的業(yè)務(wù)需求和安全機(jī)制是一個(gè)兩難的問題。這些行業(yè)是依靠幫助企業(yè)合規(guī)或說達(dá)標(biāo)以獲得收入,因此當(dāng)企業(yè)為了其業(yè)務(wù)需求或是成本控制,需要某種程度上的妥協(xié)時(shí),安全隱患自此產(chǎn)生。同樣,風(fēng)險(xiǎn)控制管理、獨(dú)立的第三方審計(jì)和評估等工作,都有可能出現(xiàn)類似的情 形。
比如PCI標(biāo)準(zhǔn)規(guī)定在線金融服務(wù)需要通過ASV廠商(經(jīng)認(rèn)證的掃描廠商)執(zhí)行互聯(lián)網(wǎng)環(huán)境的脆弱性掃描,但實(shí)際上在認(rèn)證的掃描廠商名單上,全是付了錢并證明自己符合掃描標(biāo)準(zhǔn)的廠商。市場雖然很大,但廠商就這幾家。
這并不是在說所有的顧問公司都只想著拿到支票,而不管客戶的真實(shí)合規(guī)情況。但表面上通過合規(guī),卻在實(shí)際審計(jì)中表現(xiàn)的慘不忍睹的企業(yè)并不少見。出現(xiàn)這種情況,要么是這些企業(yè)向顧問撒謊,要么就是顧問自己在撒謊。無論是哪種情況,安全問題沒有解決,最后吃虧的還是企業(yè)。
為什么合規(guī)不等于安全?
年度的合規(guī)審查是一個(gè)不錯(cuò)的矯正問題的機(jī)會(huì),但即使配備了外部的獨(dú)立審計(jì),企業(yè)在平時(shí)也不能對內(nèi)部真正的合規(guī)狀態(tài)掉以輕心。
大型企業(yè)在一周內(nèi)就可能會(huì)有許多業(yè)務(wù)、管理方面的調(diào)整,年度的合規(guī)審計(jì)遠(yuǎn)不能滿足動(dòng)態(tài)的變化需求。把過去取得的靜態(tài)的合規(guī)認(rèn)證,當(dāng)作目前的合規(guī)狀態(tài)是愚蠢的。因此,要經(jīng)常性的檢查內(nèi)部的工作變化,并跟蹤最新的合規(guī)標(biāo)準(zhǔn)。
顧問的水準(zhǔn)也是動(dòng)態(tài)變化的,審計(jì)隊(duì)伍中經(jīng)常會(huì)看到?jīng)]有幾年經(jīng)驗(yàn)的年輕畢業(yè)生在執(zhí)行一般標(biāo)準(zhǔn)的審計(jì)。這是因?yàn)?,顧問公司是要?jīng)營并贏利的,雇傭年輕的畢業(yè)生并訓(xùn)練他們(一般都是相對基礎(chǔ)的技能),意味著人力成本的降低。
普通的顧問僅僅為了通過合規(guī)而工作,他們只想讓客戶簽字確認(rèn)然后進(jìn)行下一項(xiàng)工作。資深顧問則會(huì)絕對確保企業(yè)滿足標(biāo)準(zhǔn),然后才會(huì)繼續(xù)。高級顧問則要確保企業(yè)超出合規(guī)標(biāo)準(zhǔn),才算完成工作。
標(biāo)準(zhǔn)本身的問題
大多數(shù)合規(guī)標(biāo)準(zhǔn)允許限制合規(guī)范圍。比如,PCI把CDE(卡數(shù)據(jù)環(huán)境)和ISO27001作為合規(guī)標(biāo)準(zhǔn)范圍。這樣做的結(jié)果只是向第三方證明了你的合規(guī),而不 是考慮整個(gè)環(huán)境的安全。PCI只關(guān)心支付卡的數(shù)據(jù)安全,并沒有考慮其他(這也可以理解,畢竟是支付行業(yè)寫的標(biāo)準(zhǔn))。但問題在于,使用PCI合規(guī)標(biāo)準(zhǔn)的企業(yè) 并不是安全的。因?yàn)镻CI合規(guī)只意味著企業(yè)對支付卡的數(shù)據(jù)處理和存儲(chǔ)是安全的,它并不負(fù)責(zé)企業(yè)客戶的其他數(shù)據(jù)安全。
理論與現(xiàn)實(shí)的脫節(jié)就此發(fā)生。如果企業(yè)一個(gè)較不重要的網(wǎng)絡(luò)被黑客入侵,那么即使保存在安全環(huán)境下的CDE中的數(shù)據(jù),也最終會(huì)被黑客訪問到。
標(biāo)準(zhǔn)并不獎(jiǎng)勵(lì)過分合規(guī)。大多數(shù)標(biāo)準(zhǔn)只是通過和不通過,你要么合規(guī)要么不合規(guī)。這也就意味著,企業(yè)往往只想符合最低的標(biāo)準(zhǔn)。而且標(biāo)準(zhǔn)的設(shè)計(jì)一定是大部分企業(yè)可以達(dá)到的,過高的話,人們要么不去遵守要么干脆撒謊。標(biāo)準(zhǔn)的到底應(yīng)該定高還是定低一些的爭論一直就沒有停止過。
合規(guī)通常還被當(dāng)作是對安全投入的回饋,企業(yè)在安全上花了錢,自然想得到一個(gè)認(rèn)證標(biāo)志,畢竟董事會(huì)需要知道他們的錢沒有打水漂??蓪?shí)際上,這些投入僅僅是滿足 了合規(guī)標(biāo)準(zhǔn),并不意味著安全得到了真正的改善。當(dāng)然,把錢投入到純粹的安全環(huán)境上可以增加安全,但這一點(diǎn)很難展示給安全部門之外的人,更不用說企業(yè)的管理 者和投資者了,他們最想看到的是投入所帶來的有形的價(jià)值。
結(jié)論
現(xiàn)在問題來了,合規(guī)不利于安全嗎?
當(dāng)然不是這樣。上文所表達(dá)的意思是:“為了合規(guī)而合規(guī)”對提高安全性的意義不大,合規(guī)不等于安全。但合規(guī)可以作為一個(gè)框架來幫助人們理解安全,指導(dǎo)安全工作。
點(diǎn)評
什么程度才是安全?這個(gè)問題太難有一致的答案。因此為了較好達(dá)成一致,合規(guī)方法有所幫助。當(dāng)然,如果僅把合規(guī)作為唯一衡量準(zhǔn)則,當(dāng)然不利于安全。
合 規(guī)和安全就想體檢報(bào)告和身體健康程度,不能說體檢合格就肯定健康,相信一個(gè)沒得過重病的人也不一定體檢合格。企業(yè)安全是保障,投入就是成本,在不同行業(yè)不 同時(shí)期安全要考慮的是不一樣的,是一個(gè)常態(tài)化的過程,不是無限的投入就是好,也不是合規(guī)了就是好,從上到下要理解、支持,并要找一個(gè)平衡,從措施的有效性 來衡量。
最后,為了合規(guī)而合規(guī)是無法保障安全的,必須把合規(guī)工作作為安全的起點(diǎn),不斷把技術(shù)和管理落到實(shí)處,并不斷提升員工安全意識,才能保障長期的安全。CS論壇
關(guān)注網(wǎng)絡(luò)空間安全(Cyber Security),解讀趨勢前瞻,聚焦管理策略、體系指引,為企業(yè)、機(jī)構(gòu)安全規(guī)劃與實(shí)施提供咨詢建議。