我曾经做过几个组织的CISO(首席信息安全官),那时如果组织要实施新的技术和业务实践,安全团队总是会和一个污名联系在一起。我的安全团队有机会提供安全输入时,总是被组织视为这是在对新的想法说“不”。对于现在很多信息安全从业者,这个不好的看法仍然存在。
事实上,信息安全团队和他们所服务的组织之间的关系远比这个复杂,企业非安全管理人员至少应该明白,安全团队的作用是保护公司,公司的知识产权和品牌。而最有效的保护方法就是通过开发不限制公司业务的安全策略。
现在,每个企业在信息安全管理方面都必须做得更多更快。企业领导者很容易因为CISO提供的任意认知障碍而感到沮丧,往往试图找到自己的解决方案。云计算、SaaS和BYOD等新潮流让规避传统IT和安全流程变得更简单。
每个CISO都必须管理他所在组织的技术和业务流程变化,以确保安全在一开始就得到保障。然而,CISO的责任是确保技术是安全的,而不是禁止新技术。在这篇文章中,我们将探讨一些业务经理和其它利益相关者可以购买的安全策略,这些安全策略最终可以让业务流程变得更安全,更有保障。
最初的理念
正如我过去在专栏中指出的那样,CISO需要不断地理解一些关键理念。如果安全团队将这些理念付诸实际,而客户又理解这些理念,那么就很容易让企业中每个人都相信安全的重要作用并且支持安全团队,而不是去规避安全团队。
对违例有所设想。开发新技术和流程时,工作人员应该认识到,没有什么是万无一失的,违例总会发生。因此,当组织推行一些支持BYOD这样的新技术的策略时,制定降低风险的控制措施是很重要的,如数据孤岛(也被称为飞地)。花时间帮助企业领导者和其它利益相关者了解违例的风险总是存在的,而一些额外的安全层,如新的编码评论或添加保护,可能适用于这一新技术理论,降低风险。
了解业务。CISO和安全人员需要了解业务。这样可以让安全团队成为解决方案的一部分,确保技术的安全使用,如云计算或BYOD。而且还可以促进安全团队和业务团队的合作,往往可以引发关于如何让新兴系统更安全的更好想法。向业务经理解释为什么必须实施某一特定安全措施时,安全团队可以提供深刻又基于事实的理论,再也不会只说“因为我认为如此” 这样没有说服力的理由了。
尽早并经常考虑业务安全问题。一旦企业考虑实施或推出新技术,安全团队需要成为讨论组的一部分,项目一开始安全团队就需要在脑中构思业务安全策略。如果CISO和他的团队没有参与到项目形成理念、架构和实施过程中,业务安全方面很有可能会失败,更糟糕的是,当业务后期遇到安全问题时,通常会导致需要昂贵资金解决的危机。因此,安全团队必须一开始就参与到项目讨论中,协助业务团队让项目顺利进行,并将安全风险控制在管理人员可承受能力范围内。企业领导者需要将安全团队视为新项目解决方案的一部分。
如何进行
想要在这些情况下孕育成功,在讨论时带来解决方案是最关键的。不要专注于企业的利益相关者提出的安全相关问题,一开始应该是制定促进安全使用的政策。例如,一个组织如果要推行BYOD策略,那么它可能需要某些业务规则,如设备丢失或被盗时马上联系IT人员。安全策略不仅仅可以帮助组织在保护企业数据安全时采取必要的步骤,而且可以帮助员工极可能少地遭遇业务中断情况。
为了了解什么技术在不断涌现,以及如何运用这些新技术,就要关注市场上在发生什么:每天关注你所在行业或平行行业的贸易报道、商业新闻,并积极和公司领导交谈。CSA(云安全联盟)是一个集合安全想法资源的很棒平台,企业领导者也认为CSA很有价值。CSA有各种各样的出版物,里面包括那些专门针对云安全和BYOD的文章。在架构和部署新项目的会议上,作为CISO,应该要考虑将这些标准和文档带到会议桌上,让大家都可以了解并讨论。
在会议桌上以良好的安全策略形式展现解决方案,业务团队会将你定位成一个贡献者,而不是阻饶者。引用外部资源,表明你一直在关注新技术的变化,这可以提高你的信誉。
全球范围内还有需要通过审核的优秀安全策略指南和技术指导,包括来自NIST(美国国家标准技术研究所)和ENISA(欧洲网络与信息安全局)的各种出版物。
这些指南不仅仅对于教育安全团队关于国家和国际标准很有效,而且可以帮助教育企业领导者和技术实施人员,在没有CISO的情况下,他们通常被视为FUD(恐惧,不确定和怀疑)的传播者。带来并实施可行的想法可以让新技术系统更安全,其结果是,支持新技术的安全策略和程序会给新技术一些“外部的支持”,这样就可以为这个新技术提供一个更好更可信的基础。
结论
一个CISO不能对企业领导者和终端用户所提出的想法简单的说“不!”。相反,CISO应该依靠他们的安全团队和业务部门协同合作,帮助他们开发、部署和维护一种安全技术来降低业务的风险。而且,管理人员和员工都要接受教育,知道如何面对安全威胁,为什么安全方面对于公司和个人成功推出一个新项目是至关重要的。
