趋势与观点 | 三道防线是促进而非抑制合作的手段

你有没有意识到——在谈话中突然发现——你和你的谈话对象的想法完全不同?举个例子,我曾经参与过一次关于“AV”的讨论,大约20分钟的时间后,我意识到我一直在说“反病毒”,而对方说的是“评估和验证”。天啊!

我最近在一次行业会议上观察到类似的情况,这让我花了一些时间重新思考一些假设。参加这次活动的人群比较杂,有来自不同学科的从业者。最后,我与另外两位与会者共进午餐:一位是一家大型金融服务公司的技术审计师,另一位是来自一家软件公司的网络安全技术从业者。

在谈到当天早些时候的一个讨论时,审计师指出,安全技术人员提出的特定建议对“第一和第二道防线”有影响(如果我没记错的话,这与身份验证有关)。现在,如果你熟悉三道防线模型,或者你在技术审计领域工作,你可能马上就知道这个人的意思(即,控制措施既需要运营又需要监督)。作为这次交流的旁听者,我认为这个观察非常有意义,非常有洞察力。但安全从业人员完全不知所措;很明显,他从未听说过这三道防线。同样明显的是,他不愿意说那么多,也不愿意承认自己对此一无所知。

从这个时候开始,谈话变得更加负面和徒劳。事实上,正是这次谈话基调的变化让我印象深刻。两位来自不同但相关学科的充满激情的人士分享看法,最终以沟通不畅和闹剧收场,其中一个参与者(我猜)因为某个观点超出了他的理解范围而感到恼火,而另一个(再次假设)因为试图提出的观点没有被完全理解而感到沮丧。

这反过来又让我思考三道防线的概念,以及在与专业多元化的受众接触时是否是表达某些想法的最佳方式。具体来说,为什么这个模型如此有价值,以及它在可能不熟悉的环境中如何被误解和使用。

三道防线是什么?

在我们了解细微差别之前,应该首先回顾一下什么是三道防线。对于那些不熟悉的人,“三道防线”概念是指内部审计师协会(IIA)2013年一份题为“有效风险管理和控制中的三道防线”的文件。该文件认为,组织风险管理中有三道(顾名思义)防线:
  • 第一道防线:运营管理——第一道防线是管理层建立并实施的控制措施。这道防线是拥有和管理风险的业务和职能领域,包括建立控制措施以及日常的控制措施运营。

  • 第二道防线:风险管理和合规——第二道防线是指监督和监控风险的职能部门。例如,可能包括风险管理监督委员会、合规办公室或任何其他负责监督的职能部门。

  • 第三道防线:内部审计——第三道防线是指那些提供独立鉴证和验证以确保正常运行的人。

进一步的文件,例如IIA在2020年的论文《IIA的三道防线模型:三道防线的更新》中的后续扩展超越了这一原始概念,建立了三道防线的原则、三道防线涉及的关键角色和业务职能等,实质上是在2013年论文原始意图的基础上,增加了额外的深度和背景。

这一概念已被审计界广泛接受,关于这一点我的理由很充分。首先,它很好地阐明了为什么独立鉴证如此有价值,因为如果一项控制措施未能解决风险,而对该控制措施的监控并没有表明存在问题,那么真正有助于提请人们注意该事实以予以补救的是鉴证功能。

除此之外,三道防线还强调了建立和直接监督控制措施实施与对该控制措施的持续监测和系统审查是不同的工作。将这两件事视为完全不同的任务可能是有好处的,因为有时忙碌的人会忽视其中一个(管理、持续检测和监督),而在另一个上投入更多(使其运行)。

为观众量身定制

尽管三道防线模型很有用,但在提出这一模型时必须考虑到我们的受众。在之前的例子中,真正让谈话脱轨的并不是三道防线本身。相反,这是在引用时没有理解受众。怀疑的种子在谈话的另一方不愿承认无知时生根发芽。这两个因素共同阻止了本来可以继续的合作讨论。

在我看来,当我们将三道防线的概念与其他学科结合时,有三点需要牢记。首先也是最重要的一点,不是每个人都熟悉它。这可能不言而喻,但这个概念是如此根深蒂固,以至于很多人只是使用,而没有意识到其他学科以前可能从未遇到过。即使是在合规、网络安全和隐私等重叠领域的专业学科也是如此。这些从业者中的大多数人都没有听说过,更不用说深入了解它的含义了。

这反过来意味着,在我们打算利用三条防线作为支持或讨论点的程度上,需要准备好解释,并且需要能够以一种不会让其他人感到他们在风险管理等式中的角色被削弱的方式解释。在上面的例子中,如果引用这三道防线的人由于缺乏理解而立即警觉,可能会通过立即解释来纠正。

其次,重要的是要记住,三道防线模型中有一些时间上的细微差别。具体而言,虽然在风险管理的更广泛背景下,这三道防线可被认为是重叠的。但在考虑特定风险时,在微观层面上,在给定的时间点,可能只有一道防线是有效的。例如,如果有一个用来防止XSS攻击的控制措施(例如,可能您正在使用WAF),该控制措施(第一道防线)的操作是防止该特定威胁的,而第二道防线和第三道防线的评估是稍后进行的:第二道防线是监视和观察该控制措施的执行情况,第三道防线是对操作执行情况加以验证。

最后,从逻辑上讲,有三道防线可以独立填补更广泛的风险管理职能的利基,并不意味着需要(甚至是应该)限制审计师与其他职能领域之间的互动。我参与过的一些最有效的合作是审计和其他团队(例如,安全、IRM、合规等)共同完成一项任务,这是ISACA数字信任计划中的一个关键概念。我认为,任何人引用“三道防线”作为内部审计不希望与主要承担第一道防线或第二道防线责任的利益相关者合作的证据,都是对该模型意图的误解。在我看来,这种模式的存在是为了促进而不是抑制合作。

 

编者注:本文首次发表于2022年9月21日ISACA官网News and Trends /Newsletter/@ISACA。文章内容仅代表作者本人观点。
作者:Ed Moyle, ISACA新兴趋势工作组
翻译:唐四宝(Jerry Tang),CISA, CDPSE,CZTP,ISACA微信公众号特邀通讯员。
校对:姚凯(Kevin Yao),CISA,CISM,CRISC,CGEIT,CDPSE,ISACA微信公众号特邀通讯员,关注IT安全,隐私保护和数字化。