转移承担:恒久放大后果

时间:2022-04-30 17:16:01

电脑喜好者喜欢他们的首字母缩略词。还有一个:TANSTAAFL。没有免费午餐这样的对象。不,我不是在谈论你在手机上玩的时候吃的阿拉斯加烤三文鱼餐,而不是听卖家的摊位。我的意思是,如果我们想要更好的安适性,有人必需付钱。如果每小我私家都大白这个本钱,出格是那些收费的话,对所有参预者来说城市更好。但是很多用度被推迟而不是吃午餐的人付出。
 

这就是我的意思:安适扫描会呈现一堆缝隙,生成一份呈报,安适团队会将其交给IT来修补所有这些系统。恭喜,安适团队此刻已经完成了一小部分需要完成的实际事情。在运行的业务中应用单个补丁可能涉及查询拜访,测试,集成和停机。而且假设补丁的事情方法与告白一样,并且不会粉碎任何对象。
 

每次发明危害时,它城市为某人缔造事情。这是另一个:入侵检测系统匹配签名并发出警报。人类必需对其进行验证,查询拜访,在组织需求的配景下进行分析,确定优先级,然后但愿减轻它。
 

我们有几多现有的安适工具是围绕生成大量危害代金券而设计的,其他人必需通过努力事情来兑换?难怪新一代安适工具和处事是为了实现自动化而构建的。但像这样的工具就像在爆裂管下面扔下的毛巾。
 

想想我们敦促用户措置惩罚惩罚的所有其他安适“本钱”:参与反网络垂钓培训,打点多因素令牌,使用专门的安适文件传输工具,在办公室以外的任何处所掩护条记本电脑,并在产生违规时变动所有暗码。最终用户的安适事情不停聚集。
 

安适本钱也可能违反安适性。常见的情况是业务部门推出新处事或应用措施,这会引入安适团队需要加密打点的新危害。或者是一个有能力的用户(凡是是高管)对峙以某种方法做某事让其他人处于危险之中,例如使用带有硬编码打点员的酷新IoT 3D视频系统:打点员根据。如何将开发和安适性断绝在一起,以便构建或获取应用措施,然后交给安适团队“只需添加安适性,以便我们可以部署它。”这一切似乎都不公平。
 

对此有一个经济学术语:外部性。当一方通过将本钱推向另一方而获得利益时,就会产生外部性。在一个关闭的系统中,例如一个组织,本钱和收益应该彼此平衡。然而,我一直在组织内部事情,我可以报告你:当一个部门受益而另一个部门为此付费时,人们很少会在脸上表示出微笑,即使它对公司整体有利。有人在预算上受到冲击或过度使用他们的团队以遵守规定。功效是在执行任务时的摩擦,延迟和粗心。这转化为低效且无效的安适缓解。
 

还有此外一个问题。在系统理论中,它被称为“转移承担”,它可以孕育产生恒久的放大后果。将承担转移到远离问题泉源的处所可能会使问题更难以找到并修复。就像漏水管下面的毛巾一样,它可以减轻症状,但它没有做任何工作来阻止连续的泄漏。
 

更糟糕的是,它可以掩盖足够的影响,以至于存在问题已经解决的错觉。只需修补系统,而不是构建或找到更安适的软件。我们培训和培训人员不要点击网络垂钓电子邮件,但很少考虑减少他们的访谒权限,以便一个错误不会危及整个企业。短期布施胜过整个系统的恒久从头考虑。它在短期内更自制,我们总是匆忙。
 

我们怎样才华制止转移承担?一种要领是让组织剥离独一监管的安适团队,并将安适性嵌入整个企业的文化中。安适办公室可以像大夫的办公室一样:您进行通例查抄和偶尔的健康问题,但我们每小我私家都有责任正确饮食,制止毒素,运动,并获得充沛的睡眠。这种文化改变并不容易,需要来自组织最高层的赞助。
 

开始这一过程的有效要领是量化那些正在转移的外部因素,以便打点层可以了解如何堆集和浪费本钱。通过“私有化”危害的所有权,业务部门可以打点本身的危害和相关本钱。安适团队按照合规性和合理的预期实践设定标准,并监控整体危害品级。
 

必需减轻某些危害,例如关键数据和处事的袒露或败北。其他危害(如可用性)可按照业务需求随时进行缓解。例如,如果某些业务部门不关心其网站是否呈现故障,则可能不但愿为DDoS缓解付费。这甚至可以进一步进入“限额和交易”气势派头系统,此中降低危害负荷组织门槛的部门可以获得对不需要的控制的信贷。
 

如果这听起来很熟悉,那是因为它是大大都组织中IT退款和用度的演变方法。值得注意的是,有关IT和IT危害的本钱并不必然对应。业务部门可以操作大型技术部署,危害远小于较小的部署。例如,运行安适云环境的巨型数据库可能比少数易受打击的物联网设备访谒机密数据的危害更小。