组织对网络安全(Cyber Security)的需求是否存在一定规律?
一个组织的存在,必然存在着自己的使命,无论是企业,还是NPO(非盈利组织)、NGO(非政府组织)。为了完成自己使命,一些组织中大量采用信息技术,而其载体网络空间(cyber space)承载着的信息对组织具有重要作用,甚至可以决定其存亡,因此形成了组织对网络安全的需求。对于不同组织而言,如何研究组织对网络安全需求的规律呢?
组织是由若干个体组成的,因此组织的行为学必然带着个体的色彩,不管企业的管理模式是君主制,还是群体决策制,组织的决策都体现了个体的意愿的组合。因此,我们可以借鉴马斯洛的需求层次理论来研究企业网络安全需求的层级。(在每一层级的最后,我们将采用层级关键词来识别一个组织的网络安全需求层级)
一、基于生存需求的网络安全
现代组织对信息技术的依赖性越来愈高,因此信息安全对于一定场景下的一些组织而言,可以决定其生死。例如:“911”事件后,双塔大楼中的约1200个组织或企业,具有灾难恢复计划(Disaster Recovery Plan,DRP)的约400家组织基本上存活下来,而没有DRP的大多数组织则在随后的一段时间内消亡了。DRP计划是对网络安全的三个基本要求C(机密性)、I(完整性)、A(可用性)中的可用性的保障。
不同组织对C、I、A的需求不同,例如:一般企业对可用性的需求非常高,而军事相关的则通常对机密性要求更高一些。基于生存需求的网络安全要素一旦遭受破坏,会给组织带来灭顶之灾。因此,基于生存的网络安全需求的特色是保障组织的使命得以持续的完成。而非生存需求的网络安全则可以用效费比指标进行一定程度的让渡。
层级关键词:业务支撑
二、基于安全需求的网络安全
在完成上一层级的需求后,我们注意到很多组织为了保障业务的运行,同时又期望尽量降低成本的前提下,对网络安全的投入是不够的。其原因在于,组织对网络安全的一部分问题不进行处理,甚至是滥用,对于该组织而言是有利可图的。
通常,对等对象之间的协议,是通过合同约束对等权益的。组织和个人之间,以及协议双方不对等引起的格式合同,甚至是权益偏置,通常造成了对强势一方的有利局面。例如:一个组织的数据防护不足,造成信息泄露,此时可能对组织所服务的对象形成伤害,但由于组织的垄断性,其服务对象无法进行其他选择,因此该组织持续对网络安全投入的意愿不充分。在此情景下,需要公权力进行干预,例如:等级保护、GDPR、HIPAA,或者行业特定监管约束(例如:《电子银行业务管理办法》规定“金融机构应当建立相应的机制,搜索、监测和处理假冒或有意设置类似于金融机构的电话、网站、短信号码等信息骗取客户资料的活动。”)
因此,基于安全需求的网络安全,重点体现在合规层面。该层级下,组织为了免于因过失或不作为而导致的处罚,将进行进一步的网络安全投入。
层级关键词:合规、监管
三、基于认同感需求的网络安全
基于认同感的网络安全需求,是在满足了组织业务长治久安与合规的前提下寻求外部的认同。此时,组织会采用公众认可的方法来证明其网络安全能力。其典型的表现是进行网络安全能力认证。常见的认证包括ISO系列,例如:ISO27000认证家族。在这一层级下,其网络安全能力的证明是通常是自发的。
而客户选择一个组织的网络服务时,通常也会以第三方认证服务作为选择的标准之一。
层级关键词:认证
四、基于尊重需求的网络安全
在这一层级,组织通过第三方机构实现了普遍认同,其网络安全能力获得了背书,开始反馈社会,典型的表现包括将研究成果进行公开,以推动更大范围的应用,其公开的能力包括:网络工具和代码、网络安全知识、威胁情报。我们可以看到,大量的组织开始加入这一行列,标志着社会整体网络安全的进步。
我们可以看到,愿意分享其能力的组织,更容易获得社会尊重,组织品牌也获得了响应提升。
层级关键词:分享
五、基于自我实现的网络安全
最高层级的网络安全需求,是系统化的不断提高。在这一层级下,组织通过持续的对攻防双方的技术进行研究,不断的挑战网络安全的新高度,包括防御、检测,以及反制的方法。
层级关键词:创新、精益
结语:马斯洛的需求理论,反复研读,可以在众多领域发挥其作用。
马斯洛的需求理论,反复研读,可以在众多领域发挥其作用。