我曾經做過幾個組織的CISO(首席信息安全官)，那時如果組織要實施新的技術和業務實踐，安全團隊總是會和一個污名聯系在一起。我的安全團隊有機會提供安全輸入時，總是被組織視為這是在對新的想法說“不”。對于現在很多信息安全從業者，這個不好的看法仍然存在。

事實上，信息安全團隊和他們所服務的組織之間的關系遠比這個復雜，企業非安全管理人員至少應該明白，安全團隊的作用是保護公司，公司的知識產權和品牌。而最有效的保護方法就是通過開發不限制公司業務的安全策略。

現在，每個企業在信息安全管理方面都必須做得更多更快。企業領導者很容易因為CISO提供的任意認知障礙而感到沮喪，往往試圖找到自己的解決方案。云計算、SaaS和BYOD等新潮流讓規避傳統IT和安全流程變得更簡單。

每個CISO都必須管理他所在組織的技術和業務流程變化，以確保安全在一開始就得到保障。然而，CISO的責任是確保技術是安全的，而不是禁止新技術。在這篇文章中，我們將探討一些業務經理和其它利益相關者可以購買的安全策略，這些安全策略最終可以讓業務流程變得更安全，更有保障。

最初的理念

正如我過去在專欄中指出的那樣，CISO需要不斷地理解一些關鍵理念。如果安全團隊將這些理念付諸實際，而客戶又理解這些理念，那么就很容易讓企業中每個人都相信安全的重要作用并且支持安全團隊，而不是去規避安全團隊。

對違例有所設想。開發新技術和流程時，工作人員應該認識到，沒有什么是萬無一失的，違例總會發生。因此，當組織推行一些支持BYOD這樣的新技術的策略時，制定降低風險的控制措施是很重要的，如數據孤島(也被稱為飛地)。花時間幫助企業領導者和其它利益相關者了解違例的風險總是存在的，而一些額外的安全層，如新的編碼評論或添加保護，可能適用于這一新技術理論，降低風險。

了解業務。CISO和安全人員需要了解業務。這樣可以讓安全團隊成為解決方案的一部分，確保技術的安全使用，如云計算或BYOD。而且還可以促進安全團隊和業務團隊的合作，往往可以引發關于如何讓新興系統更安全的更好想法。向業務經理解釋為什么必須實施某一特定安全措施時，安全團隊可以提供深刻又基于事實的理論，再也不會只說“因為我認為如此” 這樣沒有說服力的理由了。

盡早并經常考慮業務安全問題。一旦企業考慮實施或推出新技術，安全團隊需要成為討論組的一部分，項目一開始安全團隊就需要在腦中構思業務安全策略。如果CISO和他的團隊沒有參與到項目形成理念、架構和實施過程中，業務安全方面很有可能會失敗，更糟糕的是，當業務后期遇到安全問題時，通常會導致需要昂貴資金解決的危機。因此，安全團隊必須一開始就參與到項目討論中，協助業務團隊讓項目順利進行，并將安全風險控制在管理人員可承受能力范圍內。企業領導者需要將安全團隊視為新項目解決方案的一部分。

如何進行

想要在這些情況下孕育成功，在討論時帶來解決方案是最關鍵的。不要專注于企業的利益相關者提出的安全相關問題，一開始應該是制定促進安全使用的政策。例如，一個組織如果要推行BYOD策略，那么它可能需要某些業務規則，如設備丟失或被盜時馬上聯系IT人員。安全策略不僅僅可以幫助組織在保護企業數據安全時采取必要的步驟，而且可以幫助員工極可能少地遭遇業務中斷情況。

為了了解什么技術在不斷涌現，以及如何運用這些新技術，就要關注市場上在發生什么：每天關注你所在行業或平行行業的貿易報道、商業新聞，并積極和公司領導交談。CSA(云安全聯盟)是一個集合安全想法資源的很棒平臺，企業領導者也認為CSA很有價值。CSA有各種各樣的出版物，里面包括那些專門針對云安全和BYOD的文章。在架構和部署新項目的會議上，作為CISO，應該要考慮將這些標準和文檔帶到會議桌上，讓大家都可以了解并討論。

在會議桌上以良好的安全策略形式展現解決方案，業務團隊會將你定位成一個貢獻者，而不是阻饒者。引用外部資源，表明你一直在關注新技術的變化，這可以提高你的信譽。

全球范圍內還有需要通過審核的優秀安全策略指南和技術指導，包括來自NIST(美國國家標準技術研究所)和ENISA(歐洲網絡與信息安全局)的各種出版物。

這些指南不僅僅對于教育安全團隊關于國家和國際標準很有效，而且可以幫助教育企業領導者和技術實施人員，在沒有CISO的情況下，他們通常被視為FUD(恐懼，不確定和懷疑)的傳播者。帶來并實施可行的想法可以讓新技術系統更安全，其結果是，支持新技術的安全策略和程序會給新技術一些“外部的支持”，這樣就可以為這個新技術提供一個更好更可信的基礎。

結論

一個CISO不能對企業領導者和終端用戶所提出的想法簡單的說“不!”。相反，CISO應該依靠他們的安全團隊和業務部門協同合作，幫助他們開發、部署和維護一種安全技術來降低業務的風險。而且，管理人員和員工都要接受教育，知道如何面對安全威脅，為什么安全方面對于公司和個人成功推出一個新項目是至關重要的。