網絡安全治理與風險管理中的三線模型探析
責編:gltian |2024-04-10 14:53:33一個健全的網絡安全治理結構(包括網絡風險管理)應該包括對網絡安全的明確問責和對組織內網絡決策的明確授權。從公認的治理和風險管理規范模型之一的三線模型(即過去的三道防線模型)的角度審視網絡安全治理尤為有益。
三道防線模型建立了分層管理體系:第一道防線是負責實施安全控制的一線IT部門;第二道防線負責風險管理政策,監控第一道防線的控制并確保合規性(內部和外部);第三道防線是內部審計部門對整體網絡風險治理質量提供的獨立鑒證和建議。傳統“三道防線模型”面臨的一項批評是其過于側重網絡安全風險管理的防御方面,未能明確體現高級管理層及董事會在網絡治理中的角色和作用。盡管有許多備受關注的針對高層領導的法律糾紛已明確指向這一點,但該模型并未對此予以明確。
為解決上述缺陷并明確承認上兩層級的作用,2020年提出了更新擴展后的“三線模型”。修訂后的模型實際上包含了五條責任線:執行管理層是第四道防線,負責管理組織并為網絡風險管理分配資源(與企業風險管理 ERM保持一致);董事會是第五道防線,負責認定組織的風險偏好并監督執行管理層的行為是否符合風險承受能力。
雖然讓組織層級所有級別的人員參與是一個反復出現的主題,但該模型作為治理最佳實踐的基準脫穎而出。它提供了一種有效的方法來總結專業組織和學術界推薦的全面組織參與。
基于對組織實踐的觀察,許多企業既沒有采用原來的三道防線,也沒有采用更新后的三線模型。根據特許注冊會計師協會 (ACCA) 以及澳大利亞和新西蘭特許會計師協會(CA ANZ)的一項研究,超過60%的組織將網絡安全責任納入到IT職能部門。此外,在接受調查的大型組織中,只有三分之一的組織認為網絡風險管理是高管的責任。為了幫助治理專家和治理顧問了解組織應如何嚴格地采用該模型以及哪種模型最適合他們的需求,最近進行了一項針對此問題的實地研究。
調研
該實地研究由昆士蘭大學(澳大利亞布里斯班)的研究人員于2021年至2022年期間進行。這項研究的目的是調查組織在管理網絡安全時采用的治理配置,以及為什么對組織來說是否采用更新的三線模型很重要。更進一步的目標是識別影響組織采用簡單或復雜治理配置的因素。研究人員通過考察各組織如何清晰界定和劃分責任線、線內角色,以及參與組織中網絡安全治理專業人員的參與程度,來評估其對“三線模型”的采納情況。研究對象包括五個不同行業、面臨重大網絡風險暴露的大型跨國公司。在每個組織中,研究人員對三到五名關鍵高級人員進行了采訪,他們負責交付、管理、保證和監督網絡風險管理,從第一道防線到董事會成員。研究人員進行了24次半結構化訪談,訪談遵循共同主題,同時根據參與者的角色和職責定制問題(圖 1)。
現狀
研究表明,許多組織直到近期才開始意識到在網絡安全治理與風險管理中建立清晰且透明的結構的重要性。盡管董事會和高級管理人員對各類責任線條目表現出更高的認知度,但他們并不傾向于嚴格遵照最新版的“三線模型”行事。該模型的推廣主要由外部咨詢顧問推動,這些顧問似乎在組織所采納的治理體系中起到了關鍵的引導作用。
研究人員研究了組織如何有意識地在有效模型(考慮到其規模、風險敞口和風險偏好)和其采用的治理模型合法性(即被認為符合既定實踐)之間取得平衡。
角色的分離和組織
除銀行外,其余所有受訪者均未將控制措施的實施與監測分開。第一道防線和第二道防線的典型職責往往被劃分給多個個體、職能部門和業務單元,從而形成顆粒狀、錯綜復雜的結構。在許多情況下,第二道防線的監測控制和提供保證的職責與運營任務相結合,從而實現了角色和職能的緊密結合。對這種方法的部分解釋是,大多數組織的目標是高效且有效地提供整體網絡能力。這種方法使他們避免分離前兩道防線,這通常是由網絡環境的超動態性質驅動的,這會帶來網絡風險管理職位的頻繁變化并擴大網絡安全在組織內的作用。因此,治理結構、責任范圍和報告往往會進行動態調整。
正如某次訪談中一位網絡安全團隊經理所言:“第一級、第二級、第三級這種逐級上報的結構框架可能響應速度過慢,等到真正懂行的人接到信息時,解決問題的機會已經溜走了。”
一位首席信息安全官?(CISO) 在接受采訪時也提出了類似的看法,并指出“‘三線模型’的分類法并不適用于網絡安全。它沒有提供足夠多的類別來正確衡量結果,也無法確保基于類別設定正確的補救流程以實現特定目標。因此,我們目前正在努力將行業標準的網絡安全分類法與集團風險管理系統相接軌。”
此外,正如一位首席信息官?(CIO) 在接受采訪時指出的那樣,動態且快速變化的環境需要立即重新定義角色:“當我們踏上這一旅程時,我們設定了許多角色。三年后,我們扮演了完全不同的角色,因為威脅的性質、威脅來自何處以及應對威脅的要求都發生了變化。因為,它是動態的。”
內部審計
盡管組織越來越意識到保持內部審計職能獨立性的重要性,但前兩道防線的專業人士有時認為他們在網絡安全治理中的角色相對邊緣化。這種看法主要是由于網絡風險管理的范圍廣泛以及內部審計工作的及時性受到限制。由于內部審計師通常每年審查網絡風險管理的各個組成部分,因此按照長期審計計劃,審計周期可能會持續三到五年。這種方法似乎阻礙了內部審計對網絡風險管理有效性進行全面的、及時評估的能力。鑒于網絡安全形勢的快速發展,延長審計周期可能與有效解決新出現的威脅和漏洞所需的緊迫性不相符。這種限制影響了內部審計向組織利益相關者提供有關網絡風險管理有效性狀態的實時洞察和鑒證的能力。
在角色分離方面,盡管第一道防線和第二道防線積極協作,但內部審計師的獨立性是以犧牲其感知相關性為代價的。在研究中,內部審計人員自己也承認,網絡風險管理尚未完全成熟,這導致一些關鍵任務被第二道防線和第三道防線重復并分別執行。一個例子是對網絡風險進行單獨且不同的評估。
外部鑒證提供商
與此同時,網絡安全治理的重要利益相關者是外部鑒證提供者。正如一位風險經理在接受采訪時指出的那樣:“我們聘請外部顧問。由于人們不共享數據,因此很難針對行業進行績效基準測試。當行業發生攻擊時,我們會問自己,‘它對我們有何影響?’”
外部提供商提供了多種優勢來補充內部審計或 CISO 的角色。他們對同一行業內其他組織的實踐擁有寶貴的洞察,從而可以更廣泛地了解有效的網絡安全策略和應對共同挑戰的方法。這種跨行業知識使外部提供商能夠提供有價值的基準測試和最佳實踐建議,從而增強組織的網絡風險管理工作。
組織結構和快速的環境變化也影響了受訪執行管理人員和董事會成員的觀點。他們不太重視披露內部設定系統的重大違規行為,而是更注重了解新出現的威脅和行業發展,以確保其組織能保持領先地位。這一觀點強調了外部鑒證提供商的價值,他們掌握行業內其他組織使用的方法的知識。
盡管研究人員的受訪者承認技術控制是自下而上驅動的,但他們堅持認為治理、風險和合規(GRC)功能需要自上而下進行。
高層管理人員和董事會
參與調研的組織認識到高管參與網絡風險管理的重要性;然而,他們對網絡安全的理解往往處于高度概括的水平,并且嚴重依賴 CIO、CISO 和安全專家的詳細報告。
研究人員認為自下而上的報告方法限制了執行管理層的主動參與。
該研究的結果還表明,董事會尚未完全接受其作為網絡治理第五道防線的角色和責任。董事會往往是此類報告的被動接受者,而不是建設性地質疑網絡報告并提供獨立觀點。為了超越象征性的、打勾式的方法,董事會需要獲得網絡、數字和 IT 領域的能力和經驗,以建立獨立的問責體系。最近,美國證券交易委員會等監管機構已經認識到需要加強董事會的參與。
在網絡風險管理報告中,網絡安全專家與執行管理層和董事會之間的信息和能力水平存在明顯差異。CISO 和 CIO 受訪者表示,他們從高層得到的指導很少,只設定了高層要求。意識到知識不平衡,他們經常遵循例外管理方法,僅在必要時將問題升級給董事會,以避免過于頻繁的警報。董事會對網絡安全的主要關注點是將投資水平與同行進行比較并識別新出現的威脅。能力和信息不對稱產生的非正式權力往往導致網絡風險管理中對單個人的過度依賴。
加強網絡安全治理中所有防線的問責措施
盡管使用的樣本相對較小,但研究人員自信地得出結論,在網絡風險治理中明確采用五道責任防線的情況并不常見。組織在做出網絡治理配置決策時似乎追求兩個主要目標:堅持最佳實踐和有效降低網絡風險。當面臨網絡風險管理和治理的最佳方法的不確定性時,他們采用特定網絡安全治理方法的主要原因之一是建立合法性。這一點至關重要,因為非法治理實踐可能會導致額外的網絡風險,例如訴訟和聲譽受損。此外,組織經常偏離三道防線模型,以通過混合前兩道防線來實現更有效的配置。缺乏參與也是未采用或表面上采用五道防線的標志(即包括高級管理人員和董事會參與的擴展模型)。特別是在第四道防線和第五道防線中觀察到了這一點。對于想要加強網絡治理問責制的組織的一些建議包括:
- 評估五線問責制的采用情況——組織應評估采用五線問責制在其特定背景下的適當程度。該評估需要平衡網絡安全治理的合法性,并最大限度地提高網絡風險管理的效率和有效性。換句話說,網絡治理需要與組織的風險敞口、風險偏好、復雜性和規模相稱,并且需要符合監管要求。
- 考慮防線的隔離——盡管三道防線模型在配置防線方面提供了更大的靈活性,與傳統的三道防線模型相比,能夠實現更具合作性和集成性的結構,但它也更加強調相關治理參與者的責任。
- 將敏捷性和效率作為配置網絡安全治理的關鍵驅動因素——在某些情況下,混合前兩道防線可能更合適,因為將它們分開可能會減慢響應時間并導致相對于規模而言不成比例的成本。人們一直認為,第二道防線和第三道防線之間的合作可以提高網絡風險管理的有效性。共同采購或外包某些任務,如掃描環境和識別新出現的威脅,也可以作為一種有效檢測緊急危險的戰略手段。
- 明確角色責任——為了避免任務重復或鑒證職能的差距,必須明確不同部門之間的角色責任。明確的職責劃分可確保網絡風險的有效和高效管理。例如,網絡風險評估可以由第二道防線和第三道防線聯合執行,但需要實施一個確定誰做什么工作的保證計劃。
- 提高執行管理層的參與度——第四道防線執行管理層的更大參與度將確保負責資源分配的角色的支持。學術研究有力地表明,高層領導的支持可以提高網絡風險管理的有效性。執行管理層可以確保其他角色臨時參與網絡風險管理,例如風險經理、會計師、律師和銷售人員可能在網絡風險評估中發揮作用。
- 增強董事會的專業度——加強五線問責可以帶來更全面的網絡風險管理和治理。從提供培訓以提高網絡意識到為董事會成員創建專業認證,更強有力的問責措施可以提高董事會在處理網絡安全事務時的參與度和監督力度。
總體而言,實施這些建議將幫助組織優化其網絡治理、增強網絡風險管理實踐并建立強大的框架來有效應對新興的網絡威脅。
結論
這項研究強調了在網絡風險治理中采用五線問責制的重大差距。許多組織將合法性和效率放在首位,經常偏離標準模型,不使用所有五道防線,或將前兩道防線合并以提高效率。
組織應根據具體的組織環境評估這五道防線的適用性。在某些情況下,合并防線可以縮短響應時間并提高成本效益。此外,組織應確保角色職責明確,避免重疊和差距,增強執行管理層的參與度,以更好地分配資源和提供支持,并通過培訓和溝通加強第五道防線(董事會)以實現整體管理。
盡管網絡風險的情況很復雜,但平衡和敏捷的治理方法可以使組織有效應對新興的網絡威脅。
來源:安全牛