ISACA Journal | 网络安全治理与风险管理中的三线模型探析
一个健全的网络安全治理结构(包括网络风险管理)应该包括对网络安全的明确问责和对组织内网络决策的明确授权。从公认的治理和风险管理规范模型之一的三线模型(即过去的三道防线模型)的角度审视网络安全治理尤为有益。
三道防线模型建立了分层管理体系:第一道防线是负责实施安全控制的一线IT部门;第二道防线负责风险管理政策,监控第一道防线的控制并确保合规性(内部和外部);第三道防线是内部审计部门对整体网络风险治理质量提供的独立鉴证和建议。传统“三道防线模型”面临的一项批评是其过于侧重网络安全风险管理的防御方面,未能明确体现高级管理层及董事会在网络治理中的角色和作用。尽管有许多备受关注的针对高层领导的法律纠纷已明确指向这一点,但该模型并未对此予以明确。
为解决上述缺陷并明确承认上两层级的作用,2020年提出了更新扩展后的“三线模型”。修订后的模型实际上包含了五条责任线:执行管理层是第四道防线,负责管理组织并为网络风险管理分配资源(与企业风险管理 ERM保持一致);董事会是第五道防线,负责认定组织的风险偏好并监督执行管理层的行为是否符合风险承受能力。
虽然让组织层级所有级别的人员参与是一个反复出现的主题,但该模型作为治理最佳实践的基准脱颖而出。它提供了一种有效的方法来总结专业组织和学术界推荐的全面组织参与。
基于对组织实践的观察,许多企业既没有采用原来的三道防线,也没有采用更新后的三线模型。根据特许注册会计师协会 (ACCA) 以及澳大利亚和新西兰特许会计师协会(CA ANZ)的一项研究,超过60%的组织将网络安全责任纳入到IT职能部门。此外,在接受调查的大型组织中,只有三分之一的组织认为网络风险管理是高管的责任。为了帮助治理专家和治理顾问了解组织应如何严格地采用该模型以及哪种模型最适合他们的需求,最近进行了一项针对此问题的实地研究。
调研
该实地研究由昆士兰大学(澳大利亚布里斯班)的研究人员于2021年至2022年期间进行。这项研究的目的是调查组织在管理网络安全时采用的治理配置,以及为什么对组织来说是否采用更新的三线模型很重要。更进一步的目标是识别影响组织采用简单或复杂治理配置的因素。研究人员通过考察各组织如何清晰界定和划分责任线、线内角色,以及参与组织中网络安全治理专业人员的参与程度,来评估其对“三线模型”的采纳情况。研究对象包括五个不同行业、面临重大网络风险暴露的大型跨国公司。在每个组织中,研究人员对三到五名关键高级人员进行了采访,他们负责交付、管理、保证和监督网络风险管理,从第一道防线到董事会成员。研究人员进行了24次半结构化访谈,访谈遵循共同主题,同时根据参与者的角色和职责定制问题(图 1)。现状
研究表明,许多组织直到近期才开始意识到在网络安全治理与风险管理中建立清晰且透明的结构的重要性。尽管董事会和高级管理人员对各类责任线条目表现出更高的认知度,但他们并不倾向于严格遵照最新版的“三线模型”行事。该模型的推广主要由外部咨询顾问推动,这些顾问似乎在组织所采纳的治理体系中起到了关键的引导作用。
研究人员研究了组织如何有意识地在有效模型(考虑到其规模、风险敞口和风险偏好)和其采用的治理模型合法性(即被认为符合既定实践)之间取得平衡。
角色的分离和组织
除银行外,其余所有受访者均未将控制措施的实施与监测分开。第一道防线和第二道防线的典型职责往往被划分给多个个体、职能部门和业务单元,从而形成颗粒状、错综复杂的结构。在许多情况下,第二道防线的监测控制和提供保证的职责与运营任务相结合,从而实现了角色和职能的紧密结合。对这种方法的部分解释是,大多数组织的目标是高效且有效地提供整体网络能力。这种方法使他们避免分离前两道防线,这通常是由网络环境的超动态性质驱动的,这会带来网络风险管理职位的频繁变化并扩大网络安全在组织内的作用。因此,治理结构、责任范围和报告往往会进行动态调整。正如某次访谈中一位网络安全团队经理所言:“第一级、第二级、第三级这种逐级上报的结构框架可能响应速度过慢,等到真正懂行的人接到信息时,解决问题的机会已经溜走了。”
一位首席信息安全官 (CISO) 在接受采访时也提出了类似的看法,并指出“‘三线模型’的分类法并不适用于网络安全。它没有提供足够多的类别来正确衡量结果,也无法确保基于类别设定正确的补救流程以实现特定目标。因此,我们目前正在努力将行业标准的网络安全分类法与集团风险管理系统相接轨。”
此外,正如一位首席信息官 (CIO) 在接受采访时指出的那样,动态且快速变化的环境需要立即重新定义角色:“当我们踏上这一旅程时,我们设定了许多角色。三年后,我们扮演了完全不同的角色,因为威胁的性质、威胁来自何处以及应对威胁的要求都发生了变化。因为,它是动态的。”
内部审计
尽管组织越来越意识到保持内部审计职能独立性的重要性,但前两道防线的专业人士有时认为他们在网络安全治理中的角色相对边缘化。这种看法主要是由于网络风险管理的范围广泛以及内部审计工作的及时性受到限制。由于内部审计师通常每年审查网络风险管理的各个组成部分,因此按照长期审计计划,审计周期可能会持续三到五年。这种方法似乎阻碍了内部审计对网络风险管理有效性进行全面的、及时评估的能力。鉴于网络安全形势的快速发展,延长审计周期可能与有效解决新出现的威胁和漏洞所需的紧迫性不相符。这种限制影响了内部审计向组织利益相关者提供有关网络风险管理有效性状态的实时洞察和鉴证的能力。在角色分离方面,尽管第一道防线和第二道防线积极协作,但内部审计师的独立性是以牺牲其感知相关性为代价的。在研究中,内部审计人员自己也承认,网络风险管理尚未完全成熟,这导致一些关键任务被第二道防线和第三道防线重复并分别执行。一个例子是对网络风险进行单独且不同的评估。
外部鉴证提供商
与此同时,网络安全治理的重要利益相关者是外部鉴证提供者。正如一位风险经理在接受采访时指出的那样:“我们聘请外部顾问。由于人们不共享数据,因此很难针对行业进行绩效基准测试。当行业发生攻击时,我们会问自己,‘它对我们有何影响?’”
外部提供商提供了多种优势来补充内部审计或 CISO 的角色。他们对同一行业内其他组织的实践拥有宝贵的洞察,从而可以更广泛地了解有效的网络安全策略和应对共同挑战的方法。这种跨行业知识使外部提供商能够提供有价值的基准测试和最佳实践建议,从而增强组织的网络风险管理工作。
组织结构和快速的环境变化也影响了受访执行管理人员和董事会成员的观点。他们不太重视披露内部设定系统的重大违规行为,而是更注重了解新出现的威胁和行业发展,以确保其组织能保持领先地位。这一观点强调了外部鉴证提供商的价值,他们掌握行业内其他组织使用的方法的知识。
尽管研究人员的受访者承认技术控制是自下而上驱动的,但他们坚持认为治理、风险和合规(GRC)功能需要自上而下进行。
高层管理人员和董事会
参与调研的组织认识到高管参与网络风险管理的重要性;然而,他们对网络安全的理解往往处于高度概括的水平,并且严重依赖 CIO、CISO 和安全专家的详细报告。
研究人员认为自下而上的报告方法限制了执行管理层的主动参与。
该研究的结果还表明,董事会尚未完全接受其作为网络治理第五道防线的角色和责任。董事会往往是此类报告的被动接受者,而不是建设性地质疑网络报告并提供独立观点。为了超越象征性的、打勾式的方法,董事会需要获得网络、数字和 IT 领域的能力和经验,以建立独立的问责体系。最近,美国证券交易委员会等监管机构已经认识到需要加强董事会的参与。
在网络风险管理报告中,网络安全专家与执行管理层和董事会之间的信息和能力水平存在明显差异。CISO 和 CIO 受访者表示,他们从高层得到的指导很少,只设定了高层要求。意识到知识不平衡,他们经常遵循例外管理方法,仅在必要时将问题升级给董事会,以避免过于频繁的警报。董事会对网络安全的主要关注点是将投资水平与同行进行比较并识别新出现的威胁。能力和信息不对称产生的非正式权力往往导致网络风险管理中对单个人的过度依赖。
加强网络安全治理中所有防线的问责措施
尽管使用的样本相对较小,但研究人员自信地得出结论,在网络风险治理中明确采用五道责任防线的情况并不常见。组织在做出网络治理配置决策时似乎追求两个主要目标:坚持最佳实践和有效降低网络风险。当面临网络风险管理和治理的最佳方法的不确定性时,他们采用特定网络安全治理方法的主要原因之一是建立合法性。这一点至关重要,因为非法治理实践可能会导致额外的网络风险,例如诉讼和声誉受损。此外,组织经常偏离三道防线模型,以通过混合前两道防线来实现更有效的配置。缺乏参与也是未采用或表面上采用五道防线的标志(即包括高级管理人员和董事会参与的扩展模型)。特别是在第四道防线和第五道防线中观察到了这一点。对于想要加强网络治理问责制的组织的一些建议包括:
-
评估五线问责制的采用情况——组织应评估采用五线问责制在其特定背景下的适当程度。该评估需要平衡网络安全治理的合法性,并最大限度地提高网络风险管理的效率和有效性。换句话说,网络治理需要与组织的风险敞口、风险偏好、复杂性和规模相称,并且需要符合监管要求。
-
考虑防线的隔离——尽管三道防线模型在配置防线方面提供了更大的灵活性,与传统的三道防线模型相比,能够实现更具合作性和集成性的结构,但它也更加强调相关治理参与者的责任。
-
将敏捷性和效率作为配置网络安全治理的关键驱动因素——在某些情况下,混合前两道防线可能更合适,因为将它们分开可能会减慢响应时间并导致相对于规模而言不成比例的成本。人们一直认为,第二道防线和第三道防线之间的合作可以提高网络风险管理的有效性。共同采购或外包某些任务,如扫描环境和识别新出现的威胁,也可以作为一种有效检测紧急危险的战略手段。
-
明确角色责任——为了避免任务重复或鉴证职能的差距,必须明确不同部门之间的角色责任。明确的职责划分可确保网络风险的有效和高效管理。例如,网络风险评估可以由第二道防线和第三道防线联合执行,但需要实施一个确定谁做什么工作的保证计划。
-
提高执行管理层的参与度——第四道防线执行管理层的更大参与度将确保负责资源分配的角色的支持。学术研究有力地表明,高层领导的支持可以提高网络风险管理的有效性。执行管理层可以确保其他角色临时参与网络风险管理,例如风险经理、会计师、律师和销售人员可能在网络风险评估中发挥作用。
-
增强董事会的专业度——加强五线问责可以带来更全面的网络风险管理和治理。从提供培训以提高网络意识到为董事会成员创建专业认证,更强有力的问责措施可以提高董事会在处理网络安全事务时的参与度和监督力度。
总体而言,实施这些建议将帮助组织优化其网络治理、增强网络风险管理实践并建立强大的框架来有效应对新兴的网络威胁。
结论
这项研究强调了在网络风险治理中采用五线问责制的重大差距。许多组织将合法性和效率放在首位,经常偏离标准模型,不使用所有五道防线,或将前两道防线合并以提高效率。组织应根据具体的组织环境评估这五道防线的适用性。在某些情况下,合并防线可以缩短响应时间并提高成本效益。此外,组织应确保角色职责明确,避免重叠和差距,增强执行管理层的参与度,以更好地分配资源和提供支持,并通过培训和沟通加强第五道防线(董事会)以实现整体管理。
尽管网络风险的情况很复杂,但平衡和敏捷的治理方法可以使组织有效应对新兴的网络威胁。
编者注:本文出自ISACA Journal 2024年第1期。尾注略。文章内容仅代表作者本人观点。
作者:
IVANO BONGIOVANNI博士是昆士兰大学商学院(澳大利亚布里斯班)信息安全治理、领导力和政策方面的讲师。
SERGEJA SLAPNIČARI博士,CPA,是昆士兰大学商学院(澳大利亚布里斯班)会计学副教授。
MICHEAL AXELSENI博士,CPA,是昆士兰大学(澳大利亚布里斯班)昆士兰大学商学院的高级讲师(商业信息系统)和教学副主任(商业)。
DAVID STOCKDALEI博士是昆士兰大学(澳大利亚布里斯班)的首席信息安全官。
翻译:王彪,COBIT2019、CISA、CDPSE、CDMP、CDSP、CISP-DSGI、ISO27001LA、信息安全工程师(软考)、ISACA微信公众号特邀通信员、天融信数据安全治理专家
校对:唐四宝(Jerry Tang),CISA, CDPSE,CZTP,ISACA微信公众号特邀通讯员。