一位项目经理刚刚在预算范围内按时完成了一个网络安全项目. 他安排了与他的赞助人首席信息安全官(CISO)的最后一次会议。. 在给激光飞船充电准备最后的演讲时, 他回想起那疯狂的几个星期,松了口气. 很快, 他自豪地宣布, “We deployed this new process; we trained our people and we are now compliant with the new policy.”
首席信息安全官看着他说:“你做得很好.”
现在,把这个故事暂停一分钟. 我认为这是无稽之谈. 你能猜到为什么吗?? (请不要作弊,看下面的段落.)
证明不存在违规行为是困难的,而且只有在极少数情况下才有可能. 在实践中, 我们真正知道的唯一一件事是,我们还没有任何证据表明不遵守规定. 取决于我们对违规行为的调查力度, 我们最终得到了一定程度的保证,我们可能是合规的. 在我们的职业中,这往往是我们唯一的希望. 是的,这是一个残酷的事实,但这是一个残酷的世界.
回到我们的项目经理, 他应该说, “我们部署了这个新流程,并对员工进行了培训. 然后,我们审计了X个流程执行的随机样本,没有发现重大缺陷. 我们达到了遵守新政策的预期保证水平.”
这似乎是一个细微的差别,但却是一个深刻的差别. 任何时候都可以发现违规行为. 项目经理认识到这一点. 首席信息安全官承认这一点. 他们都没有欺骗自己. 如果CISO对项目提供的保证水平感到不舒服, 首席信息安全官将要求补充控制.
所以下次有人跟你说“我们是顺从的”,把这篇博文发给那个人.
编辑器的 注意: 想要进一步了解这个话题,请阅读大卫·多雷特最近在《澳门赌场官方软件》上发表的文章, “客观确定政策遵从性的决策树”, ISACA学报,第3卷,2020.
