1.6 企业安全的旁观者
网络安全对于企业安全的价值体现在,网络安全的角色正在从企业安全的旁观者、参与者向引领者的角色演进。此处的“旁观者”是指“一旁观望的人、不相干的人或袖手旁观的人”。但是,本节所要讨论的“旁观者”是指“从旁边观看或者观察的人”,引申为那个“旁观者清”的人——那个以冷静、深邃的目光来洞察全局的人。
1.6.1 首席智囊
绝大多数企业的网络安全都起源于企业的IT安全。这就造成了一种现状,要么网络安全是从属于IT部门,要么网络安全是企业内部处于从属地位的部门。虽然我国《网络安全法》对企业开展网络安全工作给出了硬性约束,但是,如果安全部门被企业管理者理解为是一个成本中心,那安全部门就会始终是那个在企业管理架构中处于从属位置的部门。
从这个意义上来说,需要一个“旁观者”以客观的视角和专业的知识来帮助企业的最高管理者尽快地理解身边的世界——至少是要弄明白:为什么企业的网络安全作为企业的内部工作事项需要被以法律的形式对企业进行硬性约束?为什么企业管理的实践与网络安全法律的要求之间会存在如此明显的差距?安全部门到底应不应该是一个成本中心?
大多数企业的管理者都不是网络安全专家,甚至也可以说,企业的管理者没有必要是网络安全领域的专家。但是,在网络空间的环境下又不得不考虑企业安全的问题,企业的最高管理者最好找到一位网络安全专家来当自己的参谋,帮助自己获取必要的专业意见来进行决策,甚至是辅助自己进行一定的管理工作。企业的管理者关注的永远是利益(对于营利组织来说就是经营活动所带来的利润,对于非营利组织来说就是运作过程所带来的收益和影响),只要通过网络安全工作能够带来利益或者减少损失,就有必要存在这样一位参谋。事实上,2018年以来国内很多大型企业已经意识到了这个问题,专门设立了首席安全官(Chief Security Officer, CSO)或首席信息安全官(Chief Information Security Officer, CISO)这样一个职位并聘请合适的人作为董事会或者最高管理者的专业参谋。本书不严格区分两者,并且在某些场合,首席安全官也可能被称作“首席网络安全官”(Chief Cybersecurity Officer, CCO/CCSO)。
现实情况可能还稍微有些复杂。因为CSO毕竟还是处在企业的常规管理体系之中,参谋的作用可能并不会完全发挥出来。这一点,可以从下面两个问题的讨论中得到启发。
第一个问题,为什么这些被请来的安全专家只能当参谋而不是当管理者?这个问题其实很难回答,大致的情况是:一方面,不是安全专家不可以担任企业管理者的职位,而是安全专家相对更熟悉安全专业领域,从客观、中立的角度提出安全专业意见可能比完全介入企业的运营更有实际意义,特别是在非网络空间环境的条件下,这种倾向更明显一些。从长远来看,不排除安全专家担任管理者职位的可能。另一方面,在网络空间环境下,企业在内部治理结构上根据分权和授权的原则,应当有一种趋势,就是将企业运营和安全监管分作两个层面来对待,即:将企业主要业务相关的运营工作划作一个层面,称为业务部门;将企业的安全管理、安全防御、危机处理等工作划作另一个层面,称为安全部门。两个部门在同一种制度约束下总归企业的最高管理者(或管理机构)管辖。这时,安全专家作为企业管理者的参谋作用和地位就显而易见了,因为只有他才适合作为最高管理者的代表在业务部门和安全部门之间进行协调和沟通,同时,评估两个部门的意见与法律、技术之间的差距并为最高管理者提供专业参考建议。
第二个问题,为什么需要一位参谋来客观、中立地看待安全问题而避免介入企业的实际业务运营之中?原因大致有:一方面,网络安全的专业工作需要管理、控制和测度方面的授权,存在“岗位互斥”原则,不可将指令和执行合二为一,否则,管理者很难确认安全部门所提的要求是否是适合的,以及那些对企业而言所必需的安全要求是否已经在业务部门被正确执行。另一方面,企业的业务运营往往关乎企业的利益,因此业务部门的话语权通常会大于那些对它有克制和消减作用的部门。从控制风险的角度来说,就需要一位“懂行”的人,一位没有“利益纠葛”的人来做出客观的评价。安全专家作为参谋,恰恰就是这样的角色和定位,可以发挥这个作用;否则,发展和安全的整体平衡就很容易被打破。第三个方面,因为网络安全工作是一项综合性较强的工作,需要达到何种安全要求和如何落实安全要求之间存在巨大的差异,存在一定的专业技术门槛,在企业的决策过程中需要在一定程度上尊重安全领域的专业意见。因此,需要中立于企业实际业务运营的安全专家做出客观的评价。
此外,这位“参谋”的定位很重要。如果他没有得到授权、不受尊重,那他就没有机会做到“独立”观察、“独立”思考、“独立”建议,最终也就基本没有机会做到“旁观者清”。这样一位“旁观者”,可能更适合是企业最高管理者的网络安全事务助手,可以没有管理层级上的限制,只需就企业的网络安全事务向最高管理者发挥影响即可,如此,称这位参谋是企业最高管理者在网络安全领域的首席智囊可能也不为过。
这位“首席智囊”可以只被授予最高的或最终的建议权而不被授予决策权。同时,企业必须要有配套的、有效的机制来保证这种来自首席智囊的专业建议会得到应有的尊重。否则,如果“首席智囊”的建议总是被忽视或者被不友好地对待,那么这位本该冷静的“旁观者”恐怕也就“冷静”不下来了,最终将可能失去耐心并失去继续留在这个企业的必要性。从这个角度来说,这位“首席智囊”对企业最高管理者来说,应该是“亦师亦友”。
1.6.2 首席安全官
首席安全官制度起源于美国,是在借鉴首席信息官(Chief Information Officer, CIO)制度取得巨大成功的经验基础之上发展而来的,目前仍处在不断探索和发展的过程之中。有必要深入了解一下美国的做法,即通过考查首席安全官制度在美国的由来和发展,对启发我们开展相关工作,具有很现实的借鉴意义。
(1)CISO制度在美国的发展
按照历史脉络来看,美国的首席安全官制度是由首席信息官制度按照“工商企业→政府部门→军队→社会”的历程逐渐发展完善而来。大致经历四个阶段。
第一阶段:萌芽阶段(约1980—1995年)。1981年,威廉·R.辛诺特(William R. Synnott)先生和威廉·H.格鲁伯(William H. Gruber)博士最先提出了首席信息官的概念。之后,美国一些工商企业采纳他们的建议尝试设立了首席信息官并在不长的时间内大幅提高了信息化系统的资源利用率和员工工作效率,显著提升了企业竞争力。在这一阶段,首席信息安全官的部分职责由首席信息官以保护计算机系统安全的名义代为履行,安全并未独立成为一个专业而受到人们重视。
第二阶段:起始阶段(约1995—2009年)。美国联邦政府根据美国《克林哥-柯恩法案/信息技术管理改革法案》确立政府首席信息官制度,开始陆续在美国联邦政府各部和各州政府设立首席信息官并成立联邦首席信息官委员会。在这一阶段首席信息官制度得到发展壮大。首席信息安全官通常在首席信息官的监督管理之下开始履行自身的职责。信息安全开始成为独立专业。
第三阶段:成长阶段(约2009—2016年)。2001年“9·11事件”之后,美国政府高度重视网络空间在国家安全方面的重要意义,以国家信息化带动军队信息化,推动军事信息系统与国家信息基础设施紧密接轨,开辟并逐步构建了网络空间战场。2016年,美国在其国家首席信息官职位之下设立国家首席信息安全官(U. S. CISO)。在这一阶段,首席信息安全官开始独立于首席信息官,单独负责网络安全事务。其层级在名义上处在首席信息官之下,但是已经明确将涉及网络安全的事务授权给首席信息安全官进行管理。
第四阶段:发展阶段(约自2016年起)。首席信息安全官的层级得到了较大幅度的提升,开始统筹网络空间安全事务。未来,在2025—2030年,首席信息安全官或首席安全官的层级将有可能处在首席信息官之上。
(2)CISO在我国的发展
我国的大致情况是:自2006年前后,在国家层面开始部署和推进企业建立首席信息官制度。2007年2月,国务院国有资产监督管理委员会(以下简称国资委)、国家信息化领导小组联合发布的《关于加强中央企业信息化工作的指导意见》,要求有条件的中央企业要设立总信息师(CIO)岗位。2009年4月,国资委发布《关于进一步推进中央企业信息化工作的意见》,明确提出建立首席信息官(CIO)制度,设立信息化专职管理部门。2014年11月,工业和信息化部发布《企业首席信息官制度建设指南》,同时和国资委联合下发文件推动央企首席信息官制度建设。2016年12月,教育部、人力资源和社会保障部、工业和信息化部印发《制造业人才发展规划指南》,要求提高制造业人才的关键能力和素质,到2020年全面实行首席信息官制度。2019年8月,中央网信办网络安全协调局副局长在第七届互联网安全大会(ISC 2019)开幕式上致辞时表示“要加强关键信息基础设施供应链和重要数据的安全管理,逐步建立首席网络安全官、网络安全审查、数据出境评估等制度,扎实推动网络安全信息共享、监测预警和应急处置等工作。”
(3)美国经验带给我们的启发
前面颇费了些篇幅来介绍有关首席信息官的发展历程,就是想尽可能使读者体会到,企业安全在其发生、发展的过程中自然选择了“旁观者”。已有的实践也证实,没有安全观就没有安全官,并且,随着安全观的提升,首席安全官的作用也将更大。展望未来,现代意义上的首席安全官将会是企业中的高级管理人员,负责确保企业在网络空间环境下得到充分保护,被授权为达到上述目的而:①建立和维护企业的安全战略、规划和计划;②建立适当的标准并统筹采取控制措施,指导员工确定、开发、实施和维护整个企业的内部流程以减少网络安全风险;③就网络安全事件向企业最高管理者提出决策建议;④评估企业在网络安全合规性要求方面的情况并与有关网络空间安全管理机构保持联系。
首席安全官正朝着“旁观者”的角色方向发展。
1.6.3 袖手旁观的情况
简单谈一下在现实中,企业里那些对网络安全袖手旁观的人和部门。企业中的网络安全工作在相当长的一段时间内都被认为是计算机管理部门的工作。后来,随着信息化工作的推进,网络安全工作又被认为是信息化管理部门的工作。到了网络空间时代,网络安全工作被认为是安全部门的工作。
总是有种倾向,认为安全就是安全部门的事、安全就是安全人员的事,出了安全问题就是安全部门没有尽到责任——把安全部门当成“养老院”,把安全人员当成“替罪羊”——没“事”就闲着、空着,有“事”就顶到“风口”。有监管或检查就用“安全部门”和“安全人员”去搪塞应付,有不合规的问题也是迎检不力而不是企业有管理缺失或不足。
还比如,在企业内部,非IT部门只负责使用IT手段或者提出IT需求,至于是不是需要在业务过程和需求中考虑安全保护的问题则毫不关心。而在IT部门内部,负责服务器的员工只管自己的服务器的安全(如计算机病毒查杀),负责IT承载网络的员工只管自己的网络设备的安全(如设备负载控制),负责数据库的员工只管自己的数据库的安全(如账号口令),负责应用软件的员工只管自己的应用程序的安全(如账号口令)。
这种情况,正是应了“旁观者效应”的论断,将网络安全“划出片儿、切成段儿、分成块儿”来分头负责,最后就是谁也不负责。
旁观者效应(或责任分散效应)是指:对某一件事来说,如果是员工被要求单独完成任务,那该员工的责任感就会相对较强,会做出相对积极的反应。而如果是要求一个群体共同完成任务,则群体中的每个员工的责任感就会变弱,面对困难或遇到责任时往往就会退缩或躲避。
“旁观者效应”的反作用,会加重人们安全意识的不足。只有正视问题的症结所在,辅以制度约束,那些企图逃避安全责任的人才没有了行动机会或在出现问题后很快就会得到有效的纠正。如果网络空间有了这种规则约束,那么那些不能尽到安全义务的企业,也就没有了存在机会。坦率来说,从竞争的目的而言,竞争的对手之间可能都会乐见对方出现弱点从而丧失竞争优势。由此推论,那些对自身网络安全问题放任自流的企业一定会成为网络空间中的熵,最终将处在价值链的末梢,逐渐被淘汰。