CISO 與其他資安從業人員看事情的角度有時比較負面,就職務性質來看其實無可厚非。但矯正我們看待資安工作的方式,可以帶來更具建設性的成果。
文/Matthew Tyson‧譯/Nica
網路安全工作令人精疲力盡已不是秘密。這是一個幾乎不斷對資安專家提出日常需求的高壓環境。會這樣的原因很多,但其實根本在於我們考量安全性的方式。有意識地認清這些心態,我們就能改變它們,讓每個人處於更能成功的位置。
心態為何很重要
網路安全屬於高科技領域。某種程度來說算是「硬科學」。但從另一方面來看,其實偏重在由心理學與道德所驅動的人性戰役。深藏在安全性專業人員效能底層的,是他們的心理狀態。這受到整個產業對安全性及其處於營運中角色的諸多假設所影響。
以下是為蓬勃發展更健康的資安環境,必須轉換的七大網路安全心態:
錯誤心態一、安全是終點
或許,對網路安全最深層的潛意識是深信我們能夠到達一個完成點,接著可以把它放在一邊。並非刻意這樣以為,我們意識上知道保障數位商業營運的安全是一項持續努力的任務。但奇妙的是,我們下意識想像自己終會完成安全性這件事 – 至少是有一段時間如此,而我們可以稍微放鬆。
這只是置所有人於不必要的壓力之中。當我們有安全性工作終會結束的想法時,當事情發展成總是還有更多事要做,就會產生微妙的失敗感或失望感。不知何故,一直無法達成是我們的錯,但事實上這不過是野獸的天性。
心態上接受安全性是一趟旅程、一段進行中的程序,才符合實際狀況,免除額外壓力,意即當網路安全完成之際,絕對不要以為好像抵達解除或休息的地方。解決方式是:不要在沒有任何解除的希望下承受壓力。相反的,將它視為穿越各種地型的冒險,有時上坡有時下坡,有時艱辛有時輕鬆。沿路有許多暫歇之處,接著我們再度踏上旅途。
錯誤心態二、安全性是專家的事
通常我們會認為,資安專家就是資安擁有者,這種看法不但不精確而且還會導致兩個遺憾結果。首先,這樣似乎免除所有人的責任。再者,巧妙孤立資安人員,好像他們在孤軍奮戰。
軟體開發人員應該時時刻刻想到安全性,在軟體生命周期的任何階段都要這麼做,而不是一直忽略它直到進入交付之際。所以這應該是大家的事。只有把這件事放在心上,工作人員才能預先準備找出釣魚與其他攻擊。
當然,資安專家是領導者也是導師,但終究,安全性是每個人的責任,每位員工都應該覺得自己有能力為企業整態勢作出貢獻。體認到安全性是所有人必須協同合作努力的方向,才能創造更強健的社群。
錯誤心態三、安全性只會更加艱難
沒有什麼比只會更困難的無盡任務更打擊士氣的了。有時,保障企業安全似乎就像薛西弗斯推巨石上山,只是每天巨石都會變得更大。犯罪手法越來越精巧、使用的工具也越來越好,但必須保護的企業與數位基礎架構,越來越遼闊與複雜,也更加緊密交織。【編註:薛西弗斯推巨石,出自希臘神話,比喻永無盡頭而又徒勞無功的任務】
事實上,白帽與黑帽間的戰爭一直是有來有往。有時好人領先,有時落後。勒索軟體的整體構思就是個好例子:有很長一段時間,罪犯們似乎掌控了主權。但業界已開始應變,透過可衡量結果的手段做出反擊。當然,來回的攻防仍然持續進行,但總體而言我們已經處於相對穩定的處境。
心態上接受事情就是會有周期性,我們就能養成當威脅升溫加緊腳步、威脅減弱找到適切暫歇警示等級,這樣的態度與習慣。我們時時保持警覺,但不用永遠處於 Defcon-1、紅色警示等級。保持心態上的平衡,絕對是取得長期成功的關鍵。
錯誤心態四、安全性是產品
安全性,常被視為栓在實際基礎架構上的獨立功能或附加產品,或者當成最終才必須確認或交付的單獨產物。這是軟體開發長期以來的觀點,有點類似我們過去對品質的想法:一個明顯的、獨立的元件。
亞里斯多德對敏捷的闡釋:「品質不是一種行為,而是一個習慣。」(Quality is not an act, it’s a habit)如同品質一般,安全性不是成品,而是持續進行的紀律。當我們視安全性為行為準則,不斷精進與磨練,其實就會釋放出參與其中的能量。我們透過定期鍛鍊與監控每日飲食而更健康,這就是安全。若我們想要吉他或武術練得更好,就必須不斷來回練習使之更加完善,但永遠會有更多空間必須開發,安全性也是如此。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
與其抱怨這種狀況,我們不如仰賴它,讓它成為任務的助力。在這樣一個永遠有成長空間,能讓我們全然貢獻所長的領域裡工作,其實是幸運的。應該與整個企業分享這樣的觀念,如此一來全體員工才能接受我們都在實踐安全性的這種心態。專業人員是專家,但我們全部一起參與這樣的工程,不斷學習。
安全性絕對不是以產品的方式交付,它應該是一種習慣。產品與工具只是用來推斷與輔助。我們用安全性建立的其實是一種文化、態度與意識。簡而言之,安全性是個人與企業的每日實踐。
錯誤心態五、犯罪驅動安全性
有時,感覺就像我們與罪犯在玩打地鼠,像是他們控制了這場遊戲。我們不斷滅火,或尋找歹徒可能用來破壞系統的途徑。我們將安全性視為犯罪活動的應變工作時,就把自己置於無能與沮喪的局面。
事實是,商業營運居於主導位置。企業的價值與創造力讓它們成為誘人目標,驅動無道德準則的人試圖竊取。我們並非試圖低估網路犯罪,真實情況是他們的攻擊手法十分聰明,我們必須嚴陣以待。
但價值只有合法營運才存在,犯罪只是寄生。更明白的說法是,安全性受商業驅動,沒有商業行為,網路犯罪就無法存活。資安專家是合法企業的保護者,罪犯則是處於外部試圖盜取他們能偷的一切。採取執行滲透掃描這類的積極處理方式,就能明白這點。
錯誤心態六、安全絕對可以達成
可衡量因子是良好安全性的關鍵。平均檢測時間這類指標,讓我們得以監控狀態與判斷專案效率。問題在於,我們會開始認為指標應永遠朝正面方向前進,或更糟的是已處於接近完美的程度。
度量指標(Metrics)是引領我們的前導,而不是可以被完成的目標(goals)。關鍵在於採取讓事情朝正確方向前進的方法,並在指標指出問題時利用這樣的資訊採取行動。並且,坦然接受檢測結果才是安全性所需要的。在關注 KPI 時,應將它視為監控儀表板,留意組織體系免疫系統的健康狀態。強求一定要朝完美前進並停留在那樣的狀況這種不切實際的要求,其實是在引誘扭曲指標。
錯誤心態七、安全性吃力不討好
過去的想法是,安全性只有在失敗時才被注意到。甚至更糟的是,安全性有時被視為必要之惡:是創新或完成工作的阻礙。若所有人可以忘掉安全性,我們動作的速度就能加快,就像若我們忘掉品質與顧客滿意度專注在建立軟體上那樣。這聽起來很荒謬,就像哀嘆必須在開發過程每個階段考量安全性一樣荒謬。
當事情偏離軌道且發現重大漏洞時,就會引起騷動。這種事怎麼會發生?誰搞砸的?有人必須受罰。但當一切進行順利時,我們就忽略促成這一切安好的人,甚至更糟的是:認為他們擋路了。
事情往往是只在安全性出問題必須改變時才注意到它。但安全性應該時時刻刻受重視,我們應該將安全性視為:讓每個人在盡可能最好的條件下執行自身工作的任務。
(本文授權非營利轉載,請註明出處:CIO Taiwan)