安全领导者需要解决的真正零信任挑战 媒体
建立信任而非“零信任”
关键要点
信任的挑战:安全专业人士认为,真正的挑战在于如何在组织内部建立信任,而不是追求“零信任”。借鉴经验:以“最低特权”概念为鉴,理解信任的重要性。开发者与信任问题:讨论了为何开发者需要安全工具,以及这其中的信任缺失。重塑“零信任”观念:应关注如何以积极的方式与其他团队合作,提升彼此间的信任。随着“零信任”理念的兴起,安全领导者们需要面对的真正挑战被掩盖了。虽然在网络、数据和身份等方面思考“零信任”似乎颇富道理,但我们必须面对的信息存储、保护与访问的急剧增加,特别是在远程和混合工作的背景下,责无旁贷。
我承认,对许多人而言,零信任的理论是合理的。但是,这种认识的框架及其引发的经验,显然是令人遗憾的。
实则,推动零信任的过程会影响我们将安全与商业成果连接的努力。如果我们不解决根本性问题,便可能会阻碍赚得尊重和认可的进程,妨碍我们进行有价值的工作。
从“最低特权”中学习
在上个世纪九十年代末至二十一世纪初,身份验证成为热门话题,届时我们广泛使用了“最低特权”这一概念。每当我们告知业务部门计划执行最低特权时,总会有人对此颇为反感,认为这妨碍了他们的工作。他们只听到了“不少于”这个负面词汇,而非“特权”二字。
尽管我们一再解释“你会获得完成工作所需的所有权限”,结果却总是造成了不必要的摩擦。
因此,我们可以将这一教训延伸到信任关系中。我们希望同事们更多地信任我们,而他们也期望我们更多地信任他们。非常矛盾的是,提供给他们的解决方案却是“零信任”。再一次,我们否定了他们的需求。
我们为何不信任开发者?
在最近的一次办公时间中,我们展开了一场关于如何提升开发安全性的活跃讨论而不依赖于安全团队。
这引出了一个自然的问题:“我们为何不直接让开发者使用安全工具呢?”
Jim非真实姓名笑着说,每当他提出这个建议时,总是被告知:“我们能信任开发者以正确的方式进行安全措施,他们需要我们确保他们的做法是正确的。”
我们讨论了这一过程所产生的摩擦,以及摩擦如何消耗信任,进而导致员工的倦怠感。
就在这时,Nicole非真实姓名插话说:“这恰恰是你的零信任的真实挑战所在。”
真实的零信任挑战
“零信任”这一措辞不仅否定了人们的需求,还在某种程度上反映了安全团队对其他团队的信任缺失。我意识到这一简单的表述并非适用于所有人,但在许多对话中却频繁出现,值得更深入的思考。
不少安全领导人依然努力摆脱“障碍”与“进步的壁垒”的名声。这使得人们更不愿意与我们合作,以达成大家共同的需求。
我们面临的挑战是:如何在组织内部建立信任,以及如何学会信任他人,促使他们承担责任,更好地保护他们所依赖的信息与资源。
这更像是“极大信任”,而非“零信任”。
重塑“零信任”的思路
若想解决优先问题并更快地创造价值,我们需要思考与他人合作时所需的沟通方式。这意味着我们要留意所使用的措辞与表达,以避免暗示我们不信任同事。
此时,如何将“拒绝”转变为“你怎么现在才来?”将会至关重要。
专注于你的零信任努力解决的问题,邀请人们
闪连加速器破解版
