很多企业机构致力于把信息技术和安全划在同等位置,并在其企业加快数字转换计划时保持同步。以下是一些如何克服最常见的障碍的具体措施。
IT安全主管拉玛格纳-赖特(LaMagna-Reiter)目睹了当一家公司的安全与IT两个部门领导意见不一致时,会出现哪些问题。
该软件开发公司的信息安全主管(CISO)当时正与信息官(CIO)合作,合作管理模式由传统的瀑布式项目管理转向敏捷项目管理。因为认识到需要更快地交付软件来满足业务目标,所以CISO和CIO都支持这样的变更方式,但是另一方面,他们没有就安全人员何时以及如何与开发人员交互达成一致,每个人仅仅就以最适合自己和部门的工作方式来工作。因此这种不和谐导致了产品发行周期的延长,最终没有达成销售目标。
全球IT战略和管理服务公司FNTS的CISO拉玛格纳-赖特(LaMagna-Reiter)表示:“他们在为组织的最大利益而努力时没有达成一致。”
信息技术安全的缺失是一种常见的现象。专业咨询、审计服务公司安永(EY)在2018-2019年的全球信息安全调查中发现,77%的组织仍然只在有限的网络安全和弹性下运作。
与此同时,国际信息系统审计协会发布的2018年网络安全文化报告发现,在4815名受访企业和技术专业人士中,95%的人表示,他们所期望的网络安全文化与实际的网络安全文化存在差距。
美国国际数据集团(IDG)在2019年的CIO调查中发现, 只有64%的IT领导者认为安全策略与整个信息技术策略相结合,这使得大约三分之一的组织在技术和安全功能之间缺乏强有力的一致性。
“大多数IT部门和安全部门不能很好地交互合作。他们也许会相互帮助、善待彼此,但我认为他们不会走得太远,”弗吉尼亚州费尔法克斯市(Fairfax)网络安全咨询服务公司MKACyber的创始人兼首席执行长Mischel Kwon说道。
几位信息安全官表示,随着企业加快推进数字化转型计划,企业正在努力将信息技术与安全同步。但同时也遇到了一些阻碍,由此,他们总结了一些常见的重要问题,并就CIO和CISO如何协调其资源和以共同追求一致的企业总体目标为优先提供了顶级策略。
阻碍与现实相对
NTT数据公司高级安全投资组合主管,ISACA大华盛顿特区分布懂事苏珊拉•奈尔说,如果要达到信息技术和安全一致的话,这将会影响安全部门的发展,这是一个最重要和最常见的阻碍。她说:“网络安全没有固定的管辖部门,所以大家都不想周旋于这个问题上。”这种观点在企业界根深蒂固,因为网络安全曾经扮演着一个独特的被孤立的角色,现在,通过企业和IT部门共同努力,在CISO的努力下,确保每一个人和每件事的安全。“从历史上看,安全部门与其他部门是不同的,”奈尔补充道。
油田服务公司斯伦贝谢(Schlumberger)的研究员、CISO荣誉退休人员、网络安全解决方案提供商Onapsis的顾问马里奥•奇奥克(Mario Chiock)表示,类似地,安全高管们曾倾向于提供悲观的前景,以证明增加预算和昂贵投资的合理性。他表示,这也在安全部门与其他部门之间筑起了一道墙,前者似乎担心出现最坏的情况,而后者更习惯于在决策时平衡风险和回报。
当然,CISO不能忽视最坏的情况,但安全专业人士表示,他们可以学会更有效地分析这些情况,更好地对业务风险进行分类,并更清楚地向CIO和其他同事阐明这些风险。这使他们作为一个团队能够平衡业务目标和那些威胁之间的关系,并了解哪些威胁是最值得立即关注。
先识别问题 再寻找解决方案
在一份类似的报告中,几位专家表示,安全团队识别风险并发出漏洞警报的这一方法可以更好地协调工作上的遇到的阻碍。
安全部门所要做的不是推动业务,而是监督业务。安全部门的人经常会说:“你的电脑有一个问题,你需要修复它。”专业的信息安全官会联动其他信息安全官,对他们的团队进行交叉培训,这样每一方都能够更好的了解、熟悉彼此的工作职能,知道哪里有重叠,哪里有任务的传递。这样有助于让安全部门人员了解开发部门的主要职责是开发代码,他们的任务不是创建代码,而是编写能够满足业务需求的代码。出现问题时,他们都要一起寻找解决方案,专业的CISO会从对方角度考虑,即“我如何能够帮助你做到这一点”。
防止出现错误的衡量标准
CISO和CIO也没有开发出能够帮助他们实现共同目标的度量标准。他们经常以上市速度和工作成果来评估开发人员,但是这样的评估标准并不能使开发人员在安全问题上获得良好的反馈,他们只会更恼火当提示自己的代码被提示出现漏洞而不能继续作业时。专家建议他们在开发初期加强紧密合作和协作,以便更好识别问题并解决问题,从而避免影响发展速度。
越早的发现问题,其实也是在鼓励开发人员和安全人员一起来解决问题。例如,围绕组织检测威胁的能力设计度量标准,并计划如何提高该能力。或者他们可以共同努力测量和改进补救的时间。
没有树立正确的安全防护意识
专家们说,尽管十多年来,黑客入侵事件频频见报,但许多企业仍不重视,这样的误解使得CISO和CIO很难在安全问题投资上达成一致。如果对安全部门没有充分的了解,就不能识别风险和发现最大风险,也不善于表达这些风险基于业务战略目标和战术目标。对CISO来说,最重要的是围绕风险与CIO进行对话,而不是围绕技术或工作亮点。
即将面对的挑战
根据多个安全、IT和管理领导者的说法,CISO与CIO之间的关系,可能是组织中实现良好一致性的另一个大绊脚石。他们表示,当CISO在企业中没有平等的话语权,当安全职能无法指导甚至无法与其他高管和董事会讨论建立企业对风险的容忍度时,常常会发生偏差。这种情况更有可能导致CISO和CIO的相互竞争,从而将他们分开,而不是帮助他们朝着共同的目标对齐。他们每个人都必须对公司的发展方向负责,他们将如何为公司战略和优先事项做出贡献,以及他们将如何合作实现这一切。此外,CISO和CIO都需要将这些共享的优先级传达给他们的员工,一些专家说,CISO和CIO一样,应该向CEO报告,因为这确保了优先级的平等和一致。然而,其他人表示,CISO报告给CIO的组织结构更适合进行对齐,因为CISO和CIO将协同工作。然而,一些专家表示,根据企业的整体文化,这两种情况都可能有所帮助,也可能有所阻碍。
尽管如此,专家们确实对CIO-CISO关系提出了一些共同的看法,这种关系超越了who-report -to-who的问题。他们说,双方应该就如何选择安全技术、如何解决安全问题以及如何处理和升级分歧等问题,明确界定各自的角色和责任。
CISO和CIO们应该努力拥有一组共享的事实和使用这些事实以确保透明到彼此的操作——两大因素,帮助建立信任这就是一起工作。当看到不一致时,往往是因为一方或双方不具备做出合理决定所需的全部信息。所以,确保双方说的是同一剑事,分享的是相同的事实,这确实很有帮助。但归根结底还是关系、信任。它依赖于这样一个事实,即双方都相信对方把公司的最大利益放在心上,提供准确的信息,并会照做。
参考链接:
https://www.csoonline.com/article/3386999/why-security-it-alignment-still-fails.html
声明:本文来自5iDG,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。