对于面临所有外部威胁的企业而言,最困难的挑战也许是改变企业内部对网络安全的看法,和对安全团队所做工作的理解。

早在十八世纪中叶成立的律师事务所富而德,现在已经成为国际知名事务所,在全球拥有27个办事处,300个合作伙伴和超过4000名的员工。

一、把安全语言转化成业务语言

富而德CISO马克·沃姆斯利,带领着一个20人左右的安全团队,负责物理安全、供应商保障、网络设计、客户审计、事件响应、渗透测试、意识培训和隐私保护等工作。“人们通常认为,法律行业在安全方面落后于其他行业。但实际上,我们对安全技术跟得非常紧。与其他专业服务公司一样,律师事务所的现金流非常充沛,因此可以快速地做出合理的决策。”

沃姆斯利在转到IT部门之前是一名律师,现在成为了一位CISO。律师的经验和对业务的理解,对他的安全工作非常有利。“我非常幸运对两方面的工作都有经验。律师是非常讲究细节的人,你讲的任何事情都他都会去深究。所以,要计划好要讲什么,如何讲,关键信息是什么,并且简明扼要。”

理解律师的工作动力和最关心的事情是什么,安全团队才能更好的推广控制和技术,而不仅仅是强调降低公司风险。例如,使用安全机制良好的文档协同应用,不仅能够提升文档安全,还可以帮助律师的工作更加弹性,产生更多的潜在业务机会。

“只要你给律师们开始谈收入机会、客户,开始谈弹性,马上就吸引了他们的注意力,接下来很自然的就谈到了安全。把有关安全的谈话转化成收益和机会,尤其是从客户的角度去谈,效果截然不同,会真正的打动人心。”

二、把安全当做业务拓展的机会

安全团队可以利用自己的安全能力来拓展业务机会,比如匹配业内某个特定的标准来吸引客户。

“我们有一些汽车厂商客户,他们的安全控制是独有的,不被其他企业所知道和理解。如果我们能够接受其他律师事务所所不能接受的标准,就意味着这些汽车厂商会与我们有更多的业务合作。其实从内部来讲,这些厂商知道他们的风险所在,哪些安全控制是适用的。”

沃姆斯利指出,与合作伙伴和客户的安全团队对话是另一个拓展业务的机会。“律师有律师的对话,而安全团队则会谈风险函数这类的问题,这种具体的技术问题就不是律师能交流的了。于是他们就会给高层汇报富而德正在做这方面的事情,也就意味着我们能为客户提供更加重要的服务。在谈话中律师们会突然明白,他们并不了解风险函数方面的事情,因为大家工作的层面各有不同。”

“我们讨论安全,这就是我们与其他人不同的地方。”

三、作为供应商 涉及安全时要主动

供应链安全近年来受到很大的关注,攻击者通过第三方合作伙伴得以入侵目标,最知名的案例就是塔吉特因其供暧及空调供应商被黑的案例。从供应采购关系上来看,富立德律师事务所属于法律服务供应商。沃姆斯利表示,他非常渴望与公司客户的安全团队有着主动的联系。

“与其他行业一样,法律行业也会受到来自客户的审计压力。任何机构都有不足的地方,找到客户真正关心的事情和他们最可能提出的问题,提前做好准备,岂不是一件非常有意义的事吗?”

“没有什么比客户找到门上来更糟糕的事情了,我们来对你进行审计,我们知道一些你们自己都不知道的事情。”

“富立德的安全团队会在审计期前拿起电话,打给审计员问他们的关注范围是什么,担心哪些事情。大致上得到一个接近客户审计的基准,同时也给予我们一个机会,了解我们自己不知道的事情。当身份互换时,反之亦然。”

通过这些谈话,还可以知悉客户的战略发展方向。例如,如果客户表示高度关注自己的供应商,甚至是合作伙伴的供应商,那就意味着客户要着重加强自己的供应链管理流程,为下一次审计工作做准备。

“如果沟通工作做的到位,对方的审计员会说‘他们提前给我打了电话,他们理解我们所需的问题,并能够交付。如果我们今天就开始审计,也在他们的安全计划内’”一旦有了这种沟通效果,与客户之间就不再是审计关系,而是知识共享关系了。”

四、推动业务对安全的理解与责任

法律相关的领域正在经历快速数字化转型的过程。在律师事务所这个已经饱和的市场上,许多人都在借助各种数字化和机器学习技术以寻求自己的差异化。“在这个领域必须要创新,尤其是像毕马威、埃森哲、德勤这样的机构都开展法律服务了,我们也应该走进他们的领域。”

跟上并适应新技术环境带来的变化,CISO要考虑许多事情,如满足创新需求、管理遗留系统,同时还要降低小型安全团队的工作负担。沃姆斯利提出,尽量避免直接谈及某某新理念可以解决影子IT或是其他安全短板的问题,而要从安全对业务的责任来谈。

“当人们问,你能接受这个风险吗?我会说,不,虽然我们能做,但你必须为风险担负责任。你不能再沉默无关,你需要承担责任。如果发生不好的事情,是你会被列入解雇行列。”

“如果他们的确想做些什么,我们就能一起承担风险。如果他们走开,至少你能知道他们真得不需要或不想这样。”

富立德的安全团队,推动业务对安全的理解与责任。他们告诉业务部门日常的安全工作是怎样的,并向展示一手的安全操作。每天都有安全简报,包括威胁情报,外面发生的可能会与富立德相关的攻击活动,以及近期影响员工邮件的安全事件等。甚至,安全团队还把业务部门人员和合作伙伴拉到一起成立小组,来共同回顾安全简报和一手的威胁情报。

“时不时的有人就会出现在我们的报告里,有人发现一条情报,有人担心某员工离职。我们能够运行一个经允许的流程,然后给出针对某人的一手威胁报告,并能够指出他们的行为到现在为止是安全的,并可监控和追溯他们的行为活动。”

把安全的复杂性呈现出之后,富立德的领导们可以更好的了解这些挑战。“他们意识到,安全不是一个非此即彼的是非问题,不能简单的回答我们到底是安全的还是不安全的。安全就像下象棋,必须时刻移动棋子来确何最佳的防御状态。一旦你给人们呈现出威胁的复杂性,以及应对这些威胁所需的流程和操作的话,他们就会立刻转变,开始承担应有的责任。”

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。