很多安全公司没有研究、开发和实现各种各样的项目框架不也运营的还行么?那我们为什么还要专门弄个团队来干这事儿呢?然而,“运营得还行”本身就是答案的一部分。在缺乏可见后果的情况下,安全主管和从业员工需要遵循框架来更有效理解自己的工作。
首先,得承认信息安全是一门历史不足30年的新兴学科。与IT其他方面和非计算机相关产业相比,信息安全还只处于婴儿期。不过,随着这一行业的成熟发展,杰出的领导者们开始共享自己的成功与困难,发展出供其他人遵循的模式。这些模式从口耳相传的话语,演变成了业界支持的正式框架。
安全框架就是为了给各种程序性安全机制的设计提供参考,以便确保我们能从全行业的成功和失败经验中获得益处。
制定框架与征求1000名密友(财富1000强公司)同意订披萨很类似。制定旨在提供广泛辅助的模型或框架,并非努力找出共同点来让每个人都高兴。而是努力定义一个能让最少的人大为光火的框架。可以设想一下负责组织赛跑的情形。基本上每个人对需要设置起点和终点都没有异议,但中间的部分,可以争论的地方就太多了。
那么,为什么框架是折磨安全公司的诸多问题的解呢?安全公司面临的两大挑战,一是可复现性,二是标杆管理。安全企业难以复现同时代公司及同行的成功——特别是每家企业都感觉像是独一无二的雪花。标杆管理是随着高管们开始在行业内交流经验而在业内兴起的东西。
试想一下在财富1000强公司里建立网络威胁情报(CTI)项目的情形。该怎样利用同行在医疗健康公司处得到的教训和经验,来设计对金融服务公司有效的CTI项目呢?另外,又该怎样避免因产品驱动而创建的具有可互换组件的项目呢?答案是:实现既规定了每个CTI项目都需要的核心功能(做什么),又留出单个用例具体实施细节(怎么做)的框架。这就在创建了灵活性的同时,又持有标准供多市场垂直行业进行比较(标杆管理)。
从结果起步的模型能让人理解朝向的目标,解决有效性问题。可以跨定义好的功能、核心和元素建立起一系列形成结果的能力。这些能力是从一些需要资源(人、过程、技术)来运营的活动中建立起来的。
如果你想要的结果是击败2016 F1赛车总冠军车队,你就需要一个框架。既然有了目标,现在需要的就是获得那些功能性元素,或者说,构建砖块。
基本构建砖块是车轮、引擎、车架、机师、工程师、老板、媒体关系和其他上百万个组件。然后,可以开始搬砖了——拿机师举个例子,要确保他们有能力在2.8秒内换完4个轮子。为了拥有这种能力,你至少得要12名机师、车轮、气动工具和其他东西。这些就是你的资源。最后,你还需要分析出该怎样衡量是否已经成功打败该冠军车队的方法。
在现实世界中,度量似乎很简单——上述案例中,跟踪单圈计时便可知。但在数字程序开发的世界,潜在度量的迭代太多了,而它们之中又极少有表达性和可复现性都足以和业务相关的。
那么,怎样打造一个有效的CTI项目呢?从确定你想要的结果开始。自此,你可以垒砌功能性构建砖块,找到你需要开发出哪些能力来支持你的结果。然后,草拟出构建这些能力所需的活动和资源。最后,找出衡量评价的方法。就这么简单。
然而,事情实际上并没有叙述的那么简单。拿出一个框架需要成千上万小时对公司及其运营的研究分析,然后再从这些仔细观察和分析的数据中构建出模型。不如去找一个符合自家公司项目要求,适合公司方向和特定需求的框架。找到这么一个框架,采纳它,持续应用之。今天开始应用的框架,或许就是你明天调整预算需求、额外人员和促销的途径。