【51CTO.com原创稿件】你是否也在公司身兼数职,包括某些方面的信息安全呢?如果是,放心,你不是一个人。很多资源受限的IT公司必须在日常安全和IT工作中进行平衡,IT人员都被要求处理各种各样的安全工作。对他们而言,身兼数职有机会,也有压力。但困难和挑战的背后,往往也伴随着好处。
近期对287名IT和业务人员进行的在线调查中,大多数受访者称自己的公司是由IT部门负责信息安全。相反,只有17%反馈说有专门的团队处理信息安全。另外14%称信息安全是由IT和信息安全员工共同处理,6%说自己的公司有包括信息安全在内的专门安全团队。这意味着,只有37%的受访者工作在有专职信息安全员工的公司,这或许解释了为什么很多公司难以跟上安全需求的原因。
一位不愿透露姓名和公司名的纽约市区某中型金融服务公司IT主管表示,他同样需要在多个角色之间跳转,除技术部门所有日常工作,比如桌面支持、工程和开发等等之外,还要负责网络安全。他说,由于过去5年外部技术态势不断发展,他的职责增加了很多。现在他的角色,已经从传统CIO,变成了全能CIO/CSO管理岗,必须保持自身在技术/安全领域的领先优势。
在绿色门诊健康系统(GCHS)——北路易斯安那州一家内科医师开的医疗保健系统,杰森·托马斯身兼CIO、IT主管和《健康保险流通与责任法案》(HIPAA)安全官3个角色,要确保GCHS符合HIPAA所有条款。他手下有4名全职1名兼职员工,他的部门负责处理整个系统全部5个门店的所有IT和通信事务,并要担负起这家450名员工的公司内部网络安全部门的责任。
托马斯说:“我常开玩笑说,只要插墙上的东西,就在我的管辖权里。但这其实更多的是一种友情提示人们应该先找哪个部门的方式,而不仅仅是个玩笑。”
重叠的责任划分
从安全角度出发,这种大范围角色担当确实能提供一些益处。“因为作为主管领导IT部门,我就拥有了对日常运营和挑战的可见性,让我可以直接向高层带去关于公司运营和安全的一些考虑,还可以引荐或开发必要的工具、策略和规程来解决任何问题或需求。”托马斯说道。
IT/安全复合角色带来益处的例子,是在数年前一套电子医疗保健记录系统的开发中体现出来的。“伴随那套系统的实现,我们用以支持健康记录安全电子访问的技术策略和能力,也进行了深刻的审查和重构。”
但这不意味着就没有重大挑战存在,最近的一个,是关于新医疗业务的购置。“有时候,作为CIO,必须得面对一些政治挑战,比如尝试向医师解释为什么他/她不能按以往单干时期的方式做事。”
其他时候,则有些技术问题要攻克,比如现有工作站重用引发的问题,审计当前配置以确保没有恶意软件且能够支持安全策略和安全软件等等。
良好沟通是应对挑战的关键。“我们有例行管理周会,讨论公司当前问题。很多时候安全问题就在会上提出,并形成解决方案。”
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
