ISACA Journal | 数字信任生态系统框架:企业文化和架构

当我第一次查看数字信任生态系统框架 (DTEF)的细节时,我惊讶于整体工作中包含了企业的多个组成部分。从逻辑上讲,信息技术和信息安全在其中起着至关重要的作用。但是,全面的实施还包括人力资源 (HR)、沟通/营销和企业架构 (EA)。由于组织的数字可信度一定程度上取决于其品牌的感知方式,因此沟通/营销是有意义的。但是人力资源呢?是的,即使是人力资源部门也可以在这个框架中发挥作用,因为 DTEF 将文化视为一个重要方面,将其标记为框架的领域之一。如果剖开DTEF的结构,人们可以很容易地看到,企业的任何部分都不是微不足道的或被排除在框架之外。

对于企业,重要的是要关注两个领域:文化和架构,任何组织的每个组成部分都需要充分参与到这两个领域中。

文化领域

DTEF对文化的定义中有一部分是典型的人力资源责任:管理技能和能力。管理技能和能力是文化领域的三个信任因素之一。信任因素代表了组织能够采取行动的域的特定部分。管理技能和能力信任因素的操作类似于其他能力成熟度模型 (CMM):确定 CMM 的必要技能,提供资源以确保员工能够获得这些必要的技能,识别员工技能集中的差距,并使用已识别的资源提供所需的培训。

文化域中还有两个额外的信任因素:管理文化以及创建和管理数字信任文化环境。通过这两个信任因素,我们看到了整个企业的责任。

管理文化‍

第一个信任因素——管理文化,第一步是要确定组织的当前文化,根据目标文化来评估它,并通过促进目标状态来不断衡量、评估和调整它。如何推广目标文化?其中一部分是传达这种文化应该是什么,但框架还包括沟通决策的活动、有益的行为、尝试调整目标状态的结果,以及从这些决策中吸取的教训。此外,人们期望高级管理层支持文化变革,并塑造“组织中各个层级加强信任的行为”,这通常是影响变革所必需的。

创造和管理数字信任文化环境

第二个信任因素——创造和管理数字信任文化环境,第一步是设计数字信任文化背景,即评估组织的当前状态以及组织希望作为其目标状态的位置。接下来要解决沟通因素,这一步很重要。每个信任因素进一步细分为实践,在这些实践中存在活动。围绕沟通的实践有许多关键活动,重点是理解要沟通的内容、如何沟通、持续沟通的重要性,以及如何确保沟通的内容可以与使命、目标、目标、流程和程序以及作为组织运营和期望一部分的其他方面联系起来。

当然,如果一个组织要专注于文化,它需要针对这种文化进行有效的建构。应明确界定角色和职责。还应清楚地了解和记录每个角色所需的技能。这与管理技能和能力的信任因素相吻合,并且与DTEF有很多相互交织的期望,就像人们在其他框架中看到的那样。文化领域也是品牌的用武之地,是围绕声誉管理的努力。所有这些都是创建和管理数字信任文化环境的信任因素的一环。这些都涵盖了组织内的每一个级别和结构。例如,如果 IT 无法提供服务,组织声誉将受到负面影响。沟通和营销只能做这么多。如果缺乏客户支持,客户就会抱怨,尽管在组织的其他领域做出了英勇的努力,但组织的品牌和声誉将受到损害。

架构领域

我曾经是一个组织的 企业架构(EA)小组的成员,根据我的经验,针对架构不同方面有许多知名的框架。然而,最著名的可以说是开放组架构框架(TOGAF)。TOGAF现在不仅仅是一个框架。它还包括一种方法,即架构开发方法(ADM),但这里的重点是框架组件。在 TOGAF 框架中,有四个领域:业务、数据、应用程序和技术 (BDAT)。业务、数据和应用程序领域是人们可以推测的。技术领域可能需要更多解释。基本上,技术包括底层硬件和基础设施,以使其他领域工作。毫不奇怪,DTEF 体系结构域中的第一个信任因素“创建企业信任体系结构”包括每个 BDAT 域的单独实践。DTEF旨在与其他现有框架很好地融合,对BDAT的关注是DTEF如何与EA的TOGAF重叠的一个很好的例子。

架构中的其他信任因素包含管理信息和技术架构、管理数字信任资源以及使数字信任技术与组织需求保持一致。查看每个信任因素,很明显,每个信任因素都符合 EA 旨在为企业组织执行的操作的传统期望。

管理信息和科技架构

管理信息和技术架构关注资产的生命周期-这些资产是否正确地履行了它们在组织中应该扮演的角色;它们是否可用、可恢复和能够适应企业的要求;以及是否在信息和技术栈的各个层面(包括供应链)保持完整性。同样,企业的所有级别和部分都参与到这个信任因素中。

管理数字信任资源‍

管理数字信任资源侧重于各种信息和技术资产的维护和日常运行状况。是否正在应用修补程序?性能是否足够?适当的控制和监测是否到位?包括设施在内的有形基础设施的运作是否能够满足本组织的需要?云和外包资源呢?它们是否足够,组织是否对其健康和安全有合理的保证?这些工作触及了企业的大部分组成部分。

使数字信任技术与组织需求保持一致

最后,使数字信任技术与组织需求保持一致是EA的主要职责。EA 应该调整技术以满足当前(当前架构)和未来(目标架构)的业务需求。如果当前架构和目标架构之间存在差距,EA 应该推动组织变革以消除这些差距。在DTEF中,预计EA也会这样做。

DTEF涉及整个企业‍

有些框架基本上限于企业组织特定部门。但DTEF不是这种框架。DTEF涵盖企业的所有部分,通过检查文化或体系结构域可以清楚地看到这一点。文化领域清楚地表明,数字信任文化必须得到高级管理层的支持,在整个组织中经常进行良好的沟通,并在企业的各个层面进行建模。采用数字信任文化需要变革的关键决策,而这些决策中的每一个都需要通过正确传达结果和经验教训进行分析。组织可能需要通过定义新的角色和职责以及这些新角色所需的技能来重塑组织。人力资源部门需要确保提供适当的培训,并制定计划来消除组织内当前存在的技能组合与目标状态之间的差距。

同样,架构侧重于组织的信息、基础设施和技术资产。这些资产应满足业务需要,得到适当维护,并设计为满足有关可用性、可恢复性和恢复能力的期望。如果当前架构和目标架构之间存在差距,EA 应该推动组织消除这些差距,就像 HR 应该努力消除技能组合中的差距一样。EA还应该推动技术与业务保持一致。这需要整个企业的全面努力才能取得成功。

而这些只是DTEF的六个领域中的两个。其他四个领域对企业的所有部分都有类似的期望。这不应该让任何人感到惊讶。毕竟,如果组织的一部分无法达到预期,这种不足将对组织的品牌和声誉产生负面影响。即使这种影响在组织外部看不到,也会在企业内部感受到。如果不消除这些问题,最终将在组织外部看到负面影响。我们不需要DTEF来教我们这些公理。然而,DTEF关注这样一个事实,即保持或改善组织在品牌和声誉方面的地位,其在数字信任生态系统中的地位,需要企业的各个方面取得成功。
 

编者注:本文出自ISACA Journal 2023年第4期。尾注略。文章内容仅代表作者本人观点。
作者:K. BRIAN KELLEY,CISA, CDPSE, CSPO, MCSE, SECURITY+,是一位专栏作家,主要专注于Microsoft SQL Server和Windows安全性。
翻译:尹杭宇,CISM,PMP, ISACA微信公众号特邀通讯员。
校对:蔡俊磊(Joe Cai),CDPSE、CISA、CISM、CGEIT、CRISC、CCAK、Cybersecurity Audit、CISSP、CCSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA,ISACA中国技术委员会主席,ISACA微信公众号特邀通讯员,ISACA上海社区Leader,现任某国际酒店集团信息安全副总裁。