你不是一個人在戰斗 做安全的就得身兼數職
資源受限的IT公司必須在日常安全和IT工作中進行平衡。但困難和挑戰的背后,往往也伴隨著好處。
你是否也在公司身兼數職,包括某些方面的信息安全呢?如果是,放心,你不是一個人。很多企業里,IT人員都被要求處理各種各樣的安全工作。對他們而言,身兼數職有機會,也有壓力。
近期對287名IT和業務人員進行的在線調查中,大多數受訪者稱自己的公司是由IT部門負責信息安全。相反,只有17%反饋說有專門的團隊處理信息安全。另外14%稱信息安全是由IT和信息安全員工共同處理,6%說自己的公司有包括信息安全在內的專門安全團隊。這意味著,只有37%的受訪者工作在有專職信息安全員工的公司,這或許解釋了為什么很多公司難以跟上安全需求的原因。
IT部門負責信息安全
擔負IT和安全責任的人,或者管理這類員工的人,未必樂于看到這種情形,或者看到這種情形對他們公司安全項目的影響。但他們正在尋求解決辦法。
美國未來農民組織( National FFA ),是個通過農業教育促進職業成功的組織,成員數量大約有150人。近年來,該組織投入了大量工作來保衛其系統和數據。
其IT與合規總監喬爾·吉本斯負責所有的技術運營與開發,還有安全。吉本斯說:“我的運營團隊包含有一名安全主管,負責處理日常安全運作,尤其是安全領域方面的,主要就是通信、培訓、規則與策略這些。”
安全對FFA非常重要,但安全工作的可見性發生了改變,部分是由于過去兩年間頻現報端的大量數據泄露事件。以前,CEO可以對自家安全團隊的工作充滿信心。現在,CEO需要懂得更多,以回答諸如我們是怎樣保護公司內需要保護的任何東西之類的具體問題。
在小公司,我可不敢讓我的安全員工真的只關注安全。
——喬爾·吉本斯
吉本斯和他14人組成的團隊要處理IT和安全的各方面事務,對他們而言,確保數據安全真可算個挑戰。“安全是個全職工作,而且還不止如此。在小公司,我可不敢讓我的安全員工真的只關注安全。總有其他事情需要他們去做。這可能會對安全造成負面影響。或者,因為安全工作占據了他們大量時間而讓他們無暇他顧,對其他事情造成負面影響。這就是個日常平衡工作。”
IT部門的安全支出
為解決這個問題,FFA使用了自動化普通安全活動的工具,以減輕IT團隊中安全專家的負擔。“我們利用外部合作伙伴來輔助增強內部安全專業知識,但不是替代。我們知道自己永遠不夠安全,必須持續改進。我們還知道,不可能做到100%成功。”
有鑒于此,該組織制定了應急方案以應對安全事件突發狀況。被人找出遺漏的切入點只是時間的問題,這就是當今安全戰場的本質。
一位不愿透露姓名和公司名的紐約市區某中型金融服務公司IT主管,同樣需要在多個角色之間跳轉,除技術部門所有日常工作,比如幫助臺、桌面支持、工程和開發等等之外,還要負責網絡安全。他說,由于過去5年外部技術態勢不斷發展,他的職責增加了很多。現在他的角色,已經從傳統CIO,變成了全能CIO/CSO管理崗,必須保持自身在技術/安全領域的領先優勢。
我們現在被要求成為所有技術的把關人,不僅僅要確保公司正常運轉,還要監管整個公司。
——某金融服務公司IT主管
“挑戰之一,是在終端用戶希望享受與家中相同的無拘無束聯網自由的世界中,還要保持良好的安全。終端用戶不完全理解辦公室互聯網接入的限制需求。最困難的地方,在于網絡安全意識和培訓,教導終端用戶在點擊之前三思,以及改變思維模式。”
這家140名員工的金融服務公司,其高管已經意識到網絡惡徒們帶來的威脅,知道最好能夠保持更加安全并確保業務營運能力,而不是成為被黑公司列表上的新秀。“我們公司的理念是,寧可限制第三方訪問到僅供運營的程度,也要保障更加安全。”
因此,該公司除業務相關站點或服務外,其他所有訪問都被禁止,包括所有第三方電子郵件、云存儲和視頻流服務。
然而,這位IT主管手下只有4名IT員工,要完成他那擴張了很多的職責實在困難。他表示:“我們現在被要求成為所有技術的把關人,不僅僅要確保公司正常運轉,還要監管整個公司——從防火墻邊界到入站/出站持續威脅管理。我不得不帶著一顆安全的心去學習網絡的陰暗面,就為了理解該怎樣保護我們的資產不受持續外部威脅和終端用戶易受騙性的損害。”
在綠色門診健康系統(GCHS)——北路易斯安那州一家內科醫師開的醫療保健系統,杰森·托馬斯身兼CIO、IT主管和《健康保險流通與責任法案》(HIPAA)安全官3個角色,要確保GCHS符合HIPAA所有條款。他手下有4名全職1名兼職員工,他的部門負責處理整個系統全部5個門店的所有IT和通信事務,并要擔負起這家450名員工的公司內部網絡安全部門的責任。
托馬斯說:“我常開玩笑說,只要插墻上的東西,就在我的管轄權里。但這其實更多的是一種友情提示人們應該先找哪個部門的方式,而不僅僅是個玩笑。”
重疊的責任劃分
從安全角度出發,這種大范圍角色擔當確實能提供一些益處。“因為作為主管領導IT部門,我就擁有了對日常運營和挑戰的可見性,讓我可以直接向高層帶去關于公司運營和安全的一些考慮,還可以引薦或開發必要的工具、策略和規程來解決任何問題或需求。”托馬斯說道。
IT/安全復合角色帶來益處的例子,是在數年前一套電子醫療保健記錄系統的開發中體現出來的。“伴隨那套系統的實現,我們用以支持健康記錄安全電子訪問的技術策略和能力,也進行了深刻的審查和重構。”
但這不意味著就沒有重大挑戰存在,最近的一個,是關于新醫療業務的購置。“有時候,作為CIO,必須得面對一些政治挑戰,比如嘗試向醫師解釋為什么他/她不能按以往單干時期的方式做事。”
其他時候,則有些技術問題要攻克,比如現有工作站重用引發的問題,審計當前配置以確保沒有惡意軟件且能夠支持安全策略和安全軟件等等。
良好溝通是應對挑戰的關鍵。“我們有例行管理周會,討論公司當前問題。很多時候安全問題就在會上提出,并形成解決方案。”
