機構或企業中誰是網絡安全最有力的推動者?
這取決于公司規模,在驅動安全發展上***影響力的人可能是高管,也可能是董事會成員,但非高管級管理人員,有時甚至是直接負責IT/安全的人,也會成為強勁的推動力。
無論是誰,每家公司都需要那么一個人,讓安全不僅僅是預算清單上一個條目,還是公司整體文化中的一個部分。然而,更多的情況是,公司因兩種原因之一而將安全擺上重要位置。重視安全的公司,要么有著相信安全非常重要的進取型領導團隊,要么就是經歷過重大事件的公司。”
這也正是為什么很多情況下人員沒有事件有影響力的原因。雖然大多數管理人員都希望潮流能改變一下,但現狀更能說明問題。當然,肯定有公司關注災難或監管推手的缺失問題,但這通常是因為有別的公司這么要求。
因此,安全團隊求改善往往需要很長時間的情況也就更常見了。***的問題之一,是部署雙因子身份驗證。不僅僅是在防火墻上,而是在數據中心內部設計的所有系統上。另外,網絡劃分和補丁及漏洞管理上也有很多問題。
有時是外部而非內部因素驅動公司的安全發展,尤其是在公司合并和收購中,因為收購方會要求對方的網絡安全保障,例如雅虎在被被收購進程上因數據泄露而暫停,甚至有可能被取消。
“這些問題的根源,是管理的失敗。這是個管理問題,而非技術問題。
——達雷爾·德里斯特克,信息系統安全協會(ISSA)高級成員,國際信息系統審計協會(ISACA)董事。
公司內部,真正相信且重視安全的管理團隊,影響力***。缺了這個,那就是在從山腳強攻山頭,想打贏幾乎不可能。只要不真的堅信安全非常重要,安全就會被從優先列表中移除。
任何公司,想要驅動安全發展,都需要一個代表安全的務實而強有力的聲音——一個CISO或高級別安全人士。懂行的領導團隊不會去關心查單畫勾式的形式化安全,他們會問壞人的行事方式,會管我們需要什么來阻止壞人的破壞行為。
鑒于這個原因,小公司面對的挑戰還更大些。Tychon***技術官特拉維斯·羅斯耶克說:“他們通常人手不足,預算也很緊張。IT和安全工作都被推到了次要位置。保持系統在線,維持公司運轉才是他們的優先考慮。”
只有一個人既領導IT又負責安全,那他們就沒什么機會在減小整體風險的不同方面都有深入的專業技術了。小公司里高管的職位是為預算奮戰。安全只是IT預算的一小部分。IT預算本就不多,其中一部分分給安全的就更是起不到什么作用。但是,小公司在某些方面也是有優勢的。他們的IT和安全團隊通常很強,而且獨立。當出現危機或可疑事件時,他們可以很好地集結起來協同作戰。
隨著更多的公司意識到每個員工都是目標,董事會也更多地參與進來了。不過,仍有很多公司依然覺得威脅瞄的是別的公司,不是自己。這些更成熟的有進取心的公司,將會設置真正有地位的CISO或CIO。從成熟度的角度出發,當CISO直接向CIO匯報,并在董事會有發言權的時候,公司就真正重視安全了。
另一方面,當CISO沒什么存在感且比高管低上三四個層次,他們在爭取預算上就困難得多了。這就是為什么任何公司中真想推動安全發展的人,需要能直接與風險責任人溝通的原因了。
不管是財富500強、中型企業,還是夫妻小店,風險責任人都必須決定自身風險承受度。安全感是必須的,但很少有人想要真正考慮安全。作為安全人士,不得不替他們簡化其間過程,教導他們認識數據的價值。只要涉及資金,大多數公司主管都不敢妄想忽略風險,但在數據上,這種認知出現了斷層。
為什么溝通需要直接發生在風險責任人與安全管理人員之間?這就是原因。認識到風險是直接與業務相關的那些企業,也正是為高端安全項目鋪路的那些。
財富500強企業通常體制嚴謹,信息傳達到董事會之前會經過層層篩選。這些正式或非正式的溝通,大多數情況下會讓安全團隊將信息遞送到正確的人手中。數據質量,包括完整性和可用性,是甄別準則。安全風險就是企業風險。合規只是弱安全,不過是保險問題而已。
對中小型企業而言,安全人員通常直接與企業主或非常接近企業主的人對接。除非手握正確的打開方式,否則很難說服他們投以關注。而數據質量和企業防護計劃就是那正確的打開方式。數據損失和被盜的高發,就是懶惰與懈怠的結果。所有這些問題的根源,都是管理的失敗。這是個管理問題,不是技術問題。高管層必須為公司設定基調。
為什么大企業里CISO通常都是推動戰略和預算的主力?這就是原因。
財富50強公司中常常可以看到,CISO參與度很高,同時董事會也有涉入。IT成為了董事會的常規話題。當更多的利益相關者參與進來,也就開辟了更大的預算空間,更務實的對話。這會讓每個人都去思考更寬泛的問題。若是廠商,那會有更多的利益相關者需要拉入進來。
最敏捷的,已經發現可用預算和快速反應能力之間平衡的公司,就是全球2000強企業了。這些公司規模正好,可以按自己的速度行動,能跟上市場腳步。他們會做自己的研究,CISO能用更大的團隊驅動安全進步。
不考慮公司規模的話,***的影響力來自于公司利益相關者情感上的支持。因為安全發展中需要跨越的***障礙,就是對“安全就是各種限制”的認知,安全主管需要建立良好關系以獲取利益相關者的支持。
【本文是51CTO專欄作者李少鵬的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
