停止爭論,立即行動:網絡安全需要明確領導權
你是否曾聽到過有人在公司里認真地問:“誰負責法律事務?”或“誰制定財務戰略?”可能沒有——因為答案應該是顯而易見的。然而,當涉及到網絡安全時,領導權的問題似乎仍然引發無休止的爭論。
這種情況在20世紀90年代或許還能理解,當時像首席信息安全官(CISO)這樣的關鍵安全角色仍在摸索階段。但時至今日,這無疑是一個嚴重的警示信號。
安全早已不再是小眾的技術問題,而是一項基本的業務職能。因此,看到一些組織仍然將其視為新概念或事后補救措施,將其夾在IT和合規之間,沒有明確的領導或方向,這實在令人沮喪。
面對日益猖獗和組織化的威脅行為者,爭論的時間已經結束。網絡安全需要一位擁有領導權力的明確定義的領導者。否則,注定會失敗。
誰應負責網絡安全?
將十幾位不同的業務領導者聚集在一個房間里,詢問誰負責他們的安全,你可能會得到同樣多的答案。CISO似乎是最明顯的選擇,但CIO、IT主管或其他類似角色也可能是答案。
實際的頭銜并不重要。重要的是他們是公司中最有資格的人。在大多數情況下,這個人應該是CISO,但許多公司——尤其是小型組織——并沒有這個職位。
在這種情況下,安全的責任必須向上級轉移。必須明確由某個人——COO、CFO甚至CEO負責。“我們沒有專門的安全領導者”這樣的借口是站不住腳的。許多公司完全可以在沒有CFO的情況下制定財務戰略,因此他們毫無疑問可以在沒有CISO的情況下制定安全戰略。
但真正的問題不僅是找到合適的人,而是確保他們擁有權威、資源和全業務范圍的支持,以有效執行任務。即使是最精明的CISO,如果沒有支持,也只是一個傀儡,而由委員會負責的安全策略注定是一場災難。
除非網絡安全領導者被賦予與法律或財務戰略同等的權威和責任,否則他們將繼續讓自己暴露在風險之中。內部的不確定性是網絡犯罪分子夢寐以求的脆弱目標。
為什么安全不能孤立運作?
多年來,我們一直在爭論網絡安全是一個業務問題,而不是IT問題。然而,安全仍然經常被當作一個孤立的功能,被放任在真空中運作。這是一個嚴重的錯誤。如果安全領導者沒有在決策桌上占有一席之地,他們就無法真正影響更廣泛的業務戰略。
保障公司安全是一項團隊努力。正如CFO不會單獨“負責”財務成功一樣,CISO(或任何負責安全的人)也不應該獨自戰斗。
盡管應該有一個明確定義的安全領導者,但高管層必須共同承擔責任,確保安全嵌入到組織的每一個方面。
安全策略必須是自上而下的,而不是自下而上的。如果領導層不推動它,再多的技術控制也無法拯救企業。安全政策——無論是強制執行多因素認證(MFA)還是設置數據治理規則——不應該被視為IT指令。它們是業務決策,必須被如此對待。
治理是強大安全戰略的支柱
將網絡安全作為團隊努力的一部分,很大程度上有賴于適當的治理支持。然而,網絡安全往往被視為一種模糊的愿望,而不是一種結構化、可問責的功能。沒有治理的策略不過是一張愿望清單。
沒有明確的治理,安全工作很容易變得被動、脫節,并容易被董事會上聲音最大的人否決。
治理確保網絡安全是一項可執行的業務優先事項,而不是一項勾選框的練習。這意味著制定明確的政策,定義風險容忍度,最重要的是,確保安全決策基于實際的業務需求,而不是內部政治。
此外,治理不僅僅是自上而下的指令。它是一條雙向通道:董事會設定方向,但來自安全團隊和運營人員的反饋會對其進行優化。僅存在于紙面上而沒有業務現實輸入的治理框架,與完全沒有治理一樣危險。
要使網絡安全與更廣泛的業務目標保持一致,主要利益相關者需要保持定期溝通。具體頻率取決于公司的規模和結構,因此每個企業都需要找到一個平衡點。重大投資和變更應通過變更咨詢委員會(CAB)流程,以確保一切都被考慮到。
外包:解決方案還是捷徑?
值得注意的是,對于許多企業來說,安全并不是內部處理的,而是一項外包功能。這通常是資源有限的小公司的選擇,缺乏資源來招聘和留住專門的網絡安全負責人,但大公司也可能如此。
在我的職業生涯中,我曾經歷過雙方的角色,既擔任過顧問,也管理過外部供應商。
一個重要的教訓是,如果企業只是簡單地將任務拋給一群顧問,并說:“為我們制定一個網絡安全策略”,這是行不通的。沒有適當的輸入和方向,結果可能并不適合你的公司。
多年前,我曾在一家公司工作,我們將業務連續性規劃外包給一家大型供應商。他們制定了一份詳盡、精美的200頁計劃……但這完全不適合我們的業務。我們重寫了它,最終將其精簡為15頁,緊密貼合我們的需求。
另一方面,作為顧問,我曾幫助創建了一些優秀的框架,公司負責大部分工作——我只是提供一個框架,并提出正確的問題,引導他們以正確的方式思考。
我還強烈建議,如果你不愿意保持參與,那就不要外包。安全不是一次性交付的持續監督和問責無法完全外包。
少談多做
沒有企業會期望在沒有明確的法律或財務領導的情況下取得成功,那么為什么安全要有所不同呢?關于網絡安全領導權的無休止爭論需要停止。
確定負責人,賦予他們領導的權力,并確保他們擁有全業務的支持,以做好保障組織安全所需的事情。
停止爭論,開始決策,賦予網絡安全應有的領導地位。
