【翻译】谁对网络安全负责？

去年有很多事情。其中，2021年是网络安全威胁的一年。而今年似乎有望超越它。现在的问题变得不是如果，或何时，而是谁。究竟谁该对网络安全负责？

问题的一部分是，我们已经进入了一个零信任和问责制与安全-失败文化目标对峙的世界，使得谁应该最终负责网络安全并不明确。是的，在大型组织中有明确的角色，但也有一种说法是每个人都应该承担一些责任。

今天，我们不一定会回答这个问题，但我们会给你一些技巧，让你知道如何在不同的角色和职能中培养网络安全的心态。我们至少会给你一个真正的大理由，每个人都应该多关心一下。

远程工作是问题所在吗？

我们已经从社会文化的角度写了关于 混合工作和 远程工作 的起伏。但是我们还没有讨论的是它的安全性，或者说是缺乏安全性。这两种当代的工作方式在设备选择和连接方面都更加随意。在家的员工可能会把敏感文件放在他们的笔记本电脑上，或者打印出来然后放进回收箱，虽然全职员工可能在公司拥有的电脑上工作，但他们通常也在不太安全的家庭和咖啡馆Wi-Fi网络上工作。此外，由于缺乏工作时间的限制，他们肯定会通过他们的个人电话进行连接。还有就是承包商和自由职业者，他们本来就属于BYOD。

让我们面对现实吧，2020年3月的一切发生得很突然。我们不得不尽最大的努力来维持运转--就像大部分科技行业维持其他一切的运转一样--但这意味着在我们急于从家里工作的时候，我们被削减了一些角落。我们给了人们太多的权限，太快了，而且大多数都没有经过审查。这也说明了这一点。

Forrester和Tenable共同发布了对1300名安全领袖的调查结果，名为 " 超越界限"。新的工作世界中网络安全的未来。他们发现，72%的英国组织将最近的网络攻击归因于在大流行期间设置的技术漏洞。这些 "影响业务 "的攻击和损害包括客户和员工个人身份信息的丢失、日常运作的中断、赎金软件的支付、财务损失或盗窃，甚至知识产权的盗窃。

另有68%的企业遭受了专门针对远程工作人员的攻击。这主要是通过寻找方法来破坏未打补丁的系统，但也是简单地缺乏即时反馈，而这种反馈只有在同步、同地的通信中才会出现。嘿，你收到那封邮件了吗？我应该打开那个附件吗？这些在Slack对话中截图和写下来并不那么自然。人为错误和典型的对你的风险载体缺乏个人意识是正常的。

那么，当你在努力创造任何远程文化的时候，你怎么能创造一种网络安全文化呢？你可以从沟通你为什么要这样做开始。

网络安全变得更加紧迫

集装箱解决方案公司的同事Anne Currie已经写过关于如何规划你对 气候危机的反应 就是减轻风险--因为政府最终会赶上监管和罚款科技的巨大碳足迹。

网络安全的情况也是如此，只不过更进一步而已。去年，拜登总统签署了一项广泛的 行政命令，致力于改善美国的网络安全。它还不具备法律的效力，但随着收购政策的出台，这一点应该很快就会出现--基本上，美国联邦政府不会将合同授予不符合某些网络安全标准的服务。而且，如果承包商的员工认为他们的雇主没有达到这些详尽的联邦安全要求，他们甚至会被 激励去举报。

这些要求包括整个软件供应链的安全考虑，而且不仅仅是关于未来正在建造的软件，而是已经建造、发布和集成的软件。

还有一种谨慎的乐观态度是，这项法规似乎不会在国会经常居住的 技术盲的真空中完成。至少，在 log4j漏洞之后， 白宫向苹果、谷歌、亚马逊和IBM伸出了橄榄枝，寻求软件安全建议。当然，现在还不清楚谁在评估软件的安全性，包括专利与开源与第三方集成。也不清楚它是否将只涵盖软件的最新版本，或所有可能甚至没有被维护或打补丁的版本。

只有时间能证明这一点，但由于许多原因，对网络安全的整体性、跨组织的关注对减轻风险至关重要。

我们采访了 Leslie Weinstein，她是陆军预备役少校，专注于网络情报，也是德勤公司的专家领导，专注于美国政府和公共服务。她说，行政命令的目的是指示 NIST-国家标准与技术研究所创建软件标准，然后要求满足这些标准，具有追溯力。

"这是对行业的一种警告。她说："你知道你在这里需要做什么，在我们把它变成正式的之前去做吧，因为，当我们把它变成正式的时候，再回头从头开始做就太晚了"。

谁该受到责备？

当事情出错时，究竟是谁对网络安全负责？如果一个开发人员不小心打开了攻击载体的后门，这算不算是一种可被解雇的罪行？如果一个员工故意忽视安全--即使他们没有每季度更新他们的密码或采用 奥巴马式的聪明的 "123457"--他们 是否对漏洞负有责任？当领导层没有对网络安全建议采取行动，而一次大规模的 勒索软件攻击导致整个医疗服务瘫痪，那么矛头会指向哪里？或者，如果一个员工 "盲目地执行错误的忠诚"--就像被定罪的 大众汽车排放丑闻开发者之一声称的那样--他们会被追究责任吗？

在你开始谈论发展网络安全文化之前，你必须明确后果和责任。老实说，大多数组织都不清楚这一点。

网络安全是一项跨职能的工作。就像性骚扰和数据隐私培训一样，人力资源部门需要参与推出网络安全合规教育计划。组织通常将网络安全的最佳做法纳入其雇佣合同。

责任是否在于编写代码的人？温斯坦说："开发人员不关心安全问题，或者至少他们在历史上不关心安全问题"，这并不是错的。Linux基金会的 2020年FOSS贡献者调查发现，只有3%的开发者对负责安全问题感兴趣。

这就产生了持续的摩擦，CISO部门被视为压力下的开发团队的瓶颈，赶着越来越快地发布。部分原因是，软件开发团队需要更好地说出他们代码的商业后果。他们拥有领域知识，需要感到安全才能说出来。

"如果他们被指示使用某种标准，有可能他们的高级经理如果不这样做，可能就无法看到正在发生的错误。因此，最终，每个被告知要这样做的人都有责任这样做。如果他们没有被告知要这样做，那么他们就不能承担责任，因为他们不会知道"，温斯坦说。

温斯坦说，最终，责任还是要由高层来承担。"他们有责任确保他们公司的每个人都知道这些标准，以及为什么它很重要，这样，如果开发人员没有按照指示去做，那么显然就是开发人员的错。"

美国国防部创建了 网络安全成熟度模型认证，作为与整个供应链上的供应商的合同。它要求一个C-suite人把他们的名字放在上面。如果有任何投诉，这个人就会被叫出来。培养网络思维是他们的责任，这不仅仅是关于新闻和合规性，而且是关于运营和收入。

而且这种沟通必须持续进行，而不是一年一次。

每个人都要负责任

在美国陆军后备队工作了15年后，温斯坦对此的看法很明确：我们都在一起。"当你在基本训练中入伍时，他们告诉你，每个人都是安全员。如果你看到什么，就说什么。你要一直对每个人的安危负责。所以，不要让你的战友被搞得一团糟，因为你不认为那是你的地方"，要大声说出来。

但每个人都需要更好地理解为什么，才能有动力去遵守。温斯坦举了一个例子：我们小时候被迫系安全带和戴头盔，这在当时看来是一种麻烦，因为我们直到很久以后才明白它们拯救生命的好处。"我们需要教育员工，不仅仅是他们需要做什么来保证安全，而是为什么。为什么我们要有密码？为什么我们要更改密码？如果你不这样做会发生什么？需要有这样的文化转变，从'因为我说了就做'或'因为这是合规要求'，到解释我们为什么要这样做。"她继续说，重要的是要解释，"规避这些控制是危险的。这就是我们不这样做的后果"。

网络安全文化就是要让每个人在理解了这种紧迫性之后，有一种主人翁的感觉。

当然，就像持续交付中的所有事情一样，仍有一些安全最佳实践，所有组织都应该自上而下地将其自动化，如强制执行多因素认证。一旦完成了这些，就需要在公司层面和环境层面检查你的风险--你都在现场吗？全部是远程？混合？ - 以及行业层面。一些组织或部门过于关注特定的合规领域--PCI-DSS、ISO、GDPR、SOC 2--但有很多重叠之处，需要对组织的风险管理采取更全面的方法。

当有疑问时，Weinstein说，"跟着信息走。因此，无论信息在哪里流动，我们都需要确保它得到保护。"这意味着你有责任考虑的不仅仅是你正在构建的东西，还有你正在集成的第三方API，你的同事在家里使用的设备等等。

墨菲定律的力量在网络安全领域很强大，所以要有一个计划，当你被黑客攻击时，要确保它包括跨组织的沟通。最重要的事情之一是公开讨论发生了什么，你是如何应对的，以及什么是可以改变的，并且在未来可以自动化。一个 无责的事后总结对于回答事情发生的原因至关重要，而不是谁该受到责备。通常情况下。虽然这种反思可能只是在相关人员之间进行，但重要的是在整个组织内广泛公布反思结果--网络安全是一个不断学习的过程，每个人都应该有机会获得这些经验教训。

随着美国网络要求的预期更新，"你要对你在软件中使用的任何东西负责。无论它是开源代码还是专有代码，你仍然要对把它放入你的软件负责"。温斯坦继续说，因此，"你有责任提供安全的产品，做你的尽职调查"，并能够证明你已经做了，即使在事情发生时。这只有在公开沟通的情况下才会发生。

谁在问？

我们从一个问题开始。谁对网络安全负责？但坦率地说，我们并没有答案。因为就像大多数涉及跨职能战略和 技术道德的事情一样，它往往是关于提出正确问题的过程。并创造 心理上的安全感，使每个人都能放心地回答这些问题。

温斯坦最后提醒说。"网络安全是每个公司中每个人的责任，而不仅仅是编写代码的人。因为我们的整个世界都在网络上，公司所做的一切可能都在某台电脑上。因此，一个薄弱环节就可能成为所有人的败笔"。