再開始談SABSA資安架構與模型前,先來談談溝通與說服,這會造就資安人生的狼狽與優雅,但狼狽是一個必經的過程,透過別人的經驗及教科書學習框架、知識、方法論等,能讓資安治理及管理的過程中,稍微優雅一些,但實際運作時依舊狼狽不堪,畢竟在企業經營中,IT往往被視為支援單位,並非營收產生單位,更何況再出現資安單位幫忙增加公司的開銷,造成IT與資安人員要跟高階長官談資安時,經常是在不同認知基礎上進行,進而造成許多衝突。
「人不是討厭改變,人抗拒的是『被改變』」---《寶貝老闆:家大業大》The Boss Baby: Family Business (2021)
再來看看相 對論之父Albert Einstein的名言,來源:©經理人
公司無法用相同的方法,得到不同的未來,尤其在這資訊發達與高度不確定性及複雜度下
因此在談資安治理或管理前,如何跟利害關係人的溝通或說服,變得非常重要!!舉例如下:
最後再談正經的資安框架前,有一段話覺得很有意思,關乎於你的優雅取決你溝通的對象與層級,大家可以看看下面的話深思一番:
創業當老闆是要承擔經營風險,
為人工作的可能只要承擔自己的人生或家庭...
資訊安全治理或管理,業界經常可以聽到被歸類於是風險管理的一環,但往往跟老闆報告時,老闆卻無法認同或感受,原因有很多種,歸類工作上遇見的:
1.中間主管欺上瞞下,老闆不知
2.資安的風險管理無法跟公司經營掛勾
3.資安人員的報告或溝通沒有即視感,例如:大家都知道健康檢查很重要,但往往要發現自己有類似的症狀或看到案例,才會開始重視,轉換成 老闆都知道資安管理很重要,但往往要出事了 或是看到 別家公司出事了才會開始重視。
由業務驅動的資安架構
參考維基百科
SABSA架構,其全名為 Sherwood Applied Business Security Architecture,是一種用於企業資安架構和服務管理的模型或方法論,該模型流程一開始就分析業務需求,通過生命週期的概念、設計、實施以及持續的“管理和測量”,建立可追溯的循環,以確保業務安全。
SABSA 適用於IT(資訊技術)和 OT(運營技術)環境
SABSA 模型本身是通用的,可以作為任何組織的起點,通過該模型分析和決策,使企業產出高度客製化且獨特的業務模型,並能實際成為企業適用的安全架構,迅速成為組織內資訊安全治理及管理成功的核心。
從下圖得知,SABSA模型提供了不同視角及安全架構設計,最終由經營層綜觀整體架構。
6個視角:商業、架構師、設計師、建築師、技術師、經營層
6個安全架構層級:情境、概念、邏輯、物理、組件、經營
從SABSA矩陣 配合 5W1H 進行安全架構
SABSA模型中的6個安全構架層級:情境、概念、邏輯、物理、組件、經營。
可以通過如下問題,進一步深入理解每個層級:
• 為什麽需要這一層安全架構?—— 安全架構需要保護的對應資產。
• 為什麽要提供安全架構?—— 通過描繪對應風險,解釋需要安全保護的動機。
• 如何實現這層安全架構?—— 安全架構所需的流程和功能。
• 涉及哪些人員?——與安全相關的人和組織管理。
• 在哪部署安全架構?——部署安全架構的具體位置。
• 什麽時間進行?——與安全相關的時間和時間參數等。
理論上可以回答及解決矩陣中每個單元格對應的安全問題,則應有信心實現企業安全架構。
SABSA開發企業安全架構的過程就是填充所有這36個單元的過程
參考資料:
SABSA
https://sabsa.org/sabsa-executive-summary/