iT邦幫忙

2022 iThome 鐵人賽

DAY 3
1
Security

可以狼狽,也可以優雅:從資安治理到資安應變的修養之道系列 第 3

Day3 模型,再談SABSA資安架構與模型前,先談溝通與說服

  • 分享至 

  • xImage
  •  

談框架、方法論及模型易,談溝通,說服及改變難

再開始談SABSA資安架構與模型前,先來談談溝通與說服,這會造就資安人生的狼狽與優雅,但狼狽是一個必經的過程,透過別人的經驗及教科書學習框架、知識、方法論等,能讓資安治理及管理的過程中,稍微優雅一些,但實際運作時依舊狼狽不堪,畢竟在企業經營中,IT往往被視為支援單位,並非營收產生單位,更何況再出現資安單位幫忙增加公司的開銷,造成IT與資安人員要跟高階長官談資安時,經常是在不同認知基礎上進行,進而造成許多衝突。

「人不是討厭改變,人抗拒的是『被改變』」---《寶貝老闆:家大業大》The Boss Baby: Family Business (2021)

再來看看相 對論之父Albert Einstein的名言,來源:©經理人
https://ithelp.ithome.com.tw/upload/images/20220903/20102269OwR4FCeSGa.png

公司無法用相同的方法,得到不同的未來,尤其在這資訊發達與高度不確定性及複雜度下
因此在談資安治理或管理前,如何跟利害關係人的溝通或說服,變得非常重要!!舉例如下:

  • 如果雙方在同樣認知基礎上,我們可以採取溝通 取得共識,換得優雅。
  • 如果雙方不在同樣的認知上,我們可以採取說服(可用的手法有:教育訓練、 高層施壓學半澤直樹劇中找上司的太太施壓(誤) ),先建立同樣的認知,才能進行溝通。

最後再談正經的資安框架前,有一段話覺得很有意思,關乎於你的優雅取決你溝通的對象與層級,大家可以看看下面的話深思一番:

創業當老闆是要承擔經營風險,
為人工作的可能只要承擔自己的人生或家庭...

資訊安全治理或管理,業界經常可以聽到被歸類於是風險管理的一環,但往往跟老闆報告時,老闆卻無法認同或感受,原因有很多種,歸類工作上遇見的:
1.中間主管欺上瞞下,老闆不知
2.資安的風險管理無法跟公司經營掛勾
3.資安人員的報告或溝通沒有即視感,例如:大家都知道健康檢查很重要,但往往要發現自己有類似的症狀或看到案例,才會開始重視,轉換成 老闆都知道資安管理很重要,但往往要出事了 或是看到 別家公司出事了才會開始重視。


談SABSA資安架構與模型

由業務驅動的資安架構
參考維基百科
SABSA架構,其全名為 Sherwood Applied Business Security Architecture,是一種用於企業資安架構和服務管理的模型或方法論,該模型流程一開始就分析業務需求,通過生命週期的概念、設計、實施以及持續的“管理和測量”,建立可追溯的循環,以確保業務安全。

SABSA 適用於IT(資訊技術)和 OT(運營技術)環境
SABSA 模型本身是通用的,可以作為任何組織的起點,通過該模型分析和決策,使企業產出高度客製化且獨特的業務模型,並能實際成為企業適用的安全架構,迅速成為組織內資訊安全治理及管理成功的核心。

從下圖得知,SABSA模型提供了不同視角及安全架構設計,最終由經營層綜觀整體架構。
6個視角:商業、架構師、設計師、建築師、技術師、經營層
6個安全架構層級:情境、概念、邏輯、物理、組件、經營

https://ithelp.ithome.com.tw/upload/images/20220903/20102269e9OXeD5dWm.png

從SABSA矩陣 配合 5W1H 進行安全架構
https://ithelp.ithome.com.tw/upload/images/20220903/20102269pZUR9aHBaF.png
SABSA模型中的6個安全構架層級:情境、概念、邏輯、物理、組件、經營。
可以通過如下問題,進一步深入理解每個層級:
• 為什麽需要這一層安全架構?—— 安全架構需要保護的對應資產。
• 為什麽要提供安全架構?—— 通過描繪對應風險,解釋需要安全保護的動機。
• 如何實現這層安全架構?—— 安全架構所需的流程和功能。
• 涉及哪些人員?——與安全相關的人和組織管理。
• 在哪部署安全架構?——部署安全架構的具體位置。
• 什麽時間進行?——與安全相關的時間和時間參數等。

理論上可以回答及解決矩陣中每個單元格對應的安全問題,則應有信心實現企業安全架構。

SABSA開發企業安全架構的過程就是填充所有這36個單元的過程


參考資料:
SABSA
https://sabsa.org/sabsa-executive-summary/


上一篇
Day2 架構,從ARCI矩陣窺探資安治理的真假
下一篇
Day4 方法,資安方法何其多,高層允諾值千金,從OGSM+A一頁企劃談起資安治理的策略方法
系列文
可以狼狽,也可以優雅:從資安治理到資安應變的修養之道30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言