宅在家里的你,是否也无聊到数大米粒,是否将菜谱从头做到尾,是否撸猫、撸狗打趣儿呢?
请珍惜好这一段百无聊赖的“蜗居”时光吧!这段时间,有的小伙伴在忙着刷剧,而有的小伙伴可是在忙着涨知识呢!
2月21日,青藤云安全将携手北京中测安华科技有限公司联合举办在线直播,深入探讨安全合规问题,对此话题感兴趣的伙伴们,可在文末扫码加入!下面,小编先带您探究一下安全与合规的关系。
安全与合规,就好像是一枚硬币的两面。很多情况下,我们会看到合规人员和开发人员以及安全人员融洽相处,但偶尔也会发生摩擦。举例而言,A正在按DevOps原则,审核公司为一个客户开发的一款SaaS产品。B是一名开发人员。A表示,B的工作不符合所评估的框架。B很生气,他说:“这款产品肯定是安全的!”合规人员回答说:“是的。虽然安全方面经过了精心研究,细心打磨,但安全与合规是不相同的!”当然,也可能出现相反的情况。某些时候满足合规性要求但确是不安全的,但是各类标准颁发的初衷就是为了实现基础性安全。
如果我们用维恩图说明这种情况,安全与合规将会是两个孤立圆圈,只有边缘相接。但理想的情况是,安全和合规为了实现共同目标,有更大的重叠。安全和合规人员可以通过哪些方式实现共赢呢?
01 殊途同归,为共同目标而奋斗
当谈到安全与合规两个目标时,可以归结为一个词:风险。
风险管理是安全团队和合规团队同时存在的原因所在,并且这两个团队应该为了这个共同目标而共同努力。两个团队都应该设计、建立和实施控制措施,保护组织机构的安全。有这么多共同点,这两个团队应该是天然的盟友,而且大多数情况下是这样。那么,为什么还会有安全与合规发生冲突的情况呢?
通常,安全人员可以使用一些工具来实现资产清点、风险发现、入侵检测,开发和设计安全架构来保护动态数据和静态数据的安全。采取了这些工具和流程后,安全人员就可以保护和保护组织的信息和技术资产。尽管合规可能是也一项业务要求,但这不是安全团队的主要关注点或任务。
虽然合规团队也对管理风险感兴趣,但其职责范围不仅限于信息资产。政策、法规和法律不仅涵盖信息风险,还涵盖了物理、财务、法律或其他类型的风险。合规的作用是确保组织符合诸如此类的要求。为此,合规团队将进行审核、采访、报告和沟通。这样看起来,安全和合规团队要做的事情,并不相同,但他们有一个共同的目标:保护企业安全。
从上述对两个团队的介绍,我们可以看出,安全团队主要是处理技术,而合规团队更多地是需要“文字证明”。
合规团队主要是处理语言文字,他们通过制定政策来满足这些规则,保护业务免受其他已知风险的影响。安全团队的任务是实施控制措施,而合规团队则负责确保这些控制措施得到了实施。前者只需要向自己保证,他们的控制措施已经到位并且可以按预期运行。后者则需要一份证明,这意味着拿出证据来满足第三方的要求。换言之,就是在提供证据方面,安全与合规之间产生了最大的分歧,这可能是将安全与合规结合在一起时,最具挑战性的一个方面。
让我们回到上面所述的示例。B从技术角度做了所有正确的事情——他的代码写得很好,架构设计合理,部署过程执行得很好,但是也许他缺少一些关键文档来证明这种情况。合规人员可能会观察到一个时间点事件,但是没有书面记录,不能保证每次都遵循流程和政策。
这就是一个重要的挑战。流程记录非常繁琐,要求太多也就成了快速开发和部署的障碍。安全、开发和合规之间就存在了冲突,速度、简洁和文档记录之间也就需要进行平衡?
02 如何实现双赢
那么,有什么办法可以让安全和合规团队紧密的联系在一起,形成双赢呢?下面介绍了几种方法。
自动化
大部分合规涉及提供证据并记录安全团队所做的出色工作。通过将手动流程和控制措施转变为自动化任务,会让安全团队从中受益。产生最大协同作用的三个自动化领域是:
工作流—显然,工作流是可轻松实现的目标,但是还有多少工作流需要手动操作或提交?看看有没有机会将文档记录纳入自动化步骤中来,看看有没有触发机制,启动下一个工作流。例如,在DevOps管道中,诸如GitHub之类的工具就简化了显示代码审查和请求批准的流程。
报告—如果您要手动生成报告,始终会存在失败的风险,尤其是有频率限制的控制措施。很容易忘记或错过报告期限。以自动方式生成和分发报告可确保按时将报告发送给负责分析和落实的人员。
文档—上文提到将文档记录纳入到标准化工作流程中来,这是在日常工作中建立安全和合规的一个好方法。与报告类似,还可以实现文档记录的自动化。例如,可以基于环境中的触发器生成资产和软件列表,然后对其进行检查以进行授权。可以对访问审核中的用户执行相同的操作。
沟通交流
如上文所述,“沟通”是合规团队应做的事情。如果他们做得好,每个人的工作都会更顺利些。以下是合规团队可以交流的重要事项:
要求—这一点显而易见,但是上述示例中,B并不知道要求。安全和开发团队越早了解要求,便越早找到满足这些要求的方法。
详细信息—在传达要求时,负责人员需要了解合规人员的要求。只是说“有防火墙”是不够的。这是否意味着第3层就足够了?还是我们需要7层防火墙?防火墙全部要求还是说防火墙只是控制网络流量的一个控制措施?若合规团队能详细地传达详细、具体的要求,安全团队就可以找到满足其当前工作流程和技术要求的方式。
证据—提供证据的团队要明确了解怎样才会满足合规人员的要求。合规人员是否会查看报告、屏幕截图或政策文件?合规人员可能会有很多要求,清楚了解这些要求可以确保在审核时没有或者减少不合规项。
频率—许多控制措施和要求都有频率限制。每年或每月都要进行一些什么事情吗?也许控制措施是连续的,那么如何展示呢?知道某件事需要多久发生一次,安全团队就可以提前计划并安排这些任务。如果发现有遗漏项,这种情况非常重要,因为在审查时,可能没有办法回头弥补。最佳方案是执行约束性任务所要求的次数两倍,避免由于不可预见的情况(例如疾病)而错过控制措施。
文档记录
文档记录可能过程繁琐,耗时耗力,但成功进行审核则需要文档记录。文件记录既是内部参考,也是合规人员要求的证据。下面是安全与合规团队实现双赢所需的重要文件:
控制措施—企业已同意遵守的所有控制措施的列表。这些控制措施应标明ID、名称和描述,还可能包括频率、环境、合规或监管框架参考以及团队认为有用的任何其他信息。这是合规团队要求做的事情和安全团队要做的事情的常见列表。合规人员也喜欢看到这些内容,因为这就为他们执行审计工作提供了简单的参考。
证据—在“沟通交流”部分也提到了证据,因为让每个人都理解并就可以接受的证据达成一致,这一点至关重要。开发人员做完一个产品还不够,还应该为此而得到证明!会议记录、访问和规则审查、报告甚至电子邮件都可以作为证据。制定一个计划,为您所做的所有出色工作保留证据,并确保有一个固定的位置来保存。
日程表—上文我们谈过了频率,这时,就需要创建共享日历,跟踪频率相关事件。用可视化的方法来展示需要何时、谁来做哪些事情,就可以更好地协调好安全与合规任务。
03 写在最后
当安全团队采取了强有力的控制措施来保护信息资产,并且合规团队证明,这些控制措施已落实到位并按预期运行时,双方就实现了共赢。实现共赢可确保安全控制措施不会失效,并且在审核时会提供所需的文档。