资源受限的IT公司必须在日常安全和IT工作中进行平衡。但困难和挑战的背后,往往也伴随着好处。
你是否也在公司身兼数职,包括某些方面的信息安全呢?如果是,放心,你不是一个人。很多企业里,IT人员都被要求处理各种各样的安全工作。对他们而言,身兼数职有机会,也有压力。
近期对287名IT和业务人员进行的在线调查中,大多数受访者称自己的公司是由IT部门负责信息安全。相反,只有17%反馈说有专门的团队处理信息安全。另外14%称信息安全是由IT和信息安全员工共同处理,6%说自己的公司有包括信息安全在内的专门安全团队。这意味着,只有37%的受访者工作在有专职信息安全员工的公司,这或许解释了为什么很多公司难以跟上安全需求的原因。
IT部门负责信息安全
担负IT和安全责任的人,或者管理这类员工的人,未必乐于看到这种情形,或者看到这种情形对他们公司安全项目的影响。但他们正在寻求解决办法。
美国未来农民组织( National FFA ),是个通过农业教育促进职业成功的组织,成员数量大约有150人。近年来,该组织投入了大量工作来保卫其系统和数据。
其IT与合规总监乔尔·吉本斯负责所有的技术运营与开发,还有安全。吉本斯说:“我的运营团队包含有一名安全主管,负责处理日常安全运作,尤其是安全领域方面的,主要就是通信、培训、规则与策略这些。”
安全对FFA非常重要,但安全工作的可见性发生了改变,部分是由于过去两年间频现报端的大量数据泄露事件。以前,CEO可以对自家安全团队的工作充满信心。现在,CEO需要懂得更多,以回答诸如我们是怎样保护公司内需要保护的任何东西之类的具体问题。
在小公司,我可不敢让我的安全员工真的只关注安全。
——乔尔·吉本斯
吉本斯和他14人组成的团队要处理IT和安全的各方面事务,对他们而言,确保数据安全真可算个挑战。“安全是个全职工作,而且还不止如此。在小公司,我可不敢让我的安全员工真的只关注安全。总有其他事情需要他们去做。这可能会对安全造成负面影响。或者,因为安全工作占据了他们大量时间而让他们无暇他顾,对其他事情造成负面影响。这就是个日常平衡工作。”
IT部门的安全支出
为解决这个问题,FFA使用了自动化普通安全活动的工具,以减轻IT团队中安全专家的负担。“我们利用外部合作伙伴来辅助增强内部安全专业知识,但不是替代。我们知道自己永远不够安全,必须持续改进。我们还知道,不可能做到100%成功。”
有鉴于此,该组织制定了应急方案以应对安全事件突发状况。被人找出遗漏的切入点只是时间的问题,这就是当今安全战场的本质。
一位不愿透露姓名和公司名的纽约市区某中型金融服务公司IT主管,同样需要在多个角色之间跳转,除技术部门所有日常工作,比如帮助台、桌面支持、工程和开发等等之外,还要负责网络安全。他说,由于过去5年外部技术态势不断发展,他的职责增加了很多。现在他的角色,已经从传统CIO,变成了全能CIO/CSO管理岗,必须保持自身在技术/安全领域的领先优势。
我们现在被要求成为所有技术的把关人,不仅仅要确保公司正常运转,还要监管整个公司。
——某金融服务公司IT主管
“挑战之一,是在终端用户希望享受与家中相同的无拘无束联网自由的世界中,还要保持良好的安全。终端用户不完全理解办公室互联网接入的限制需求。最困难的地方,在于网络安全意识和培训,教导终端用户在点击之前三思,以及改变思维模式。”
这家140名员工的金融服务公司,其高管已经意识到网络恶徒们带来的威胁,知道最好能够保持更加安全并确保业务营运能力,而不是成为被黑公司列表上的新秀。“我们公司的理念是,宁可限制第三方访问到仅供运营的程度,也要保障更加安全。”
因此,该公司除业务相关站点或服务外,其他所有访问都被禁止,包括所有第三方电子邮件、云存储和视频流服务。
然而,这位IT主管手下只有4名IT员工,要完成他那扩张了很多的职责实在困难。他表示:“我们现在被要求成为所有技术的把关人,不仅仅要确保公司正常运转,还要监管整个公司——从防火墙边界到入站/出站持续威胁管理。我不得不带着一颗安全的心去学习网络的阴暗面,就为了理解该怎样保护我们的资产不受持续外部威胁和终端用户易受骗性的损害。”
在绿色门诊健康系统(GCHS)——北路易斯安那州一家内科医师开的医疗保健系统,杰森·托马斯身兼CIO、IT主管和《健康保险流通与责任法案》(HIPAA)安全官3个角色,要确保GCHS符合HIPAA所有条款。他手下有4名全职1名兼职员工,他的部门负责处理整个系统全部5个门店的所有IT和通信事务,并要担负起这家450名员工的公司内部网络安全部门的责任。
托马斯说:“我常开玩笑说,只要插墙上的东西,就在我的管辖权里。但这其实更多的是一种友情提示人们应该先找哪个部门的方式,而不仅仅是个玩笑。”
重叠的责任划分
从安全角度出发,这种大范围角色担当确实能提供一些益处。“因为作为主管领导IT部门,我就拥有了对日常运营和挑战的可见性,让我可以直接向高层带去关于公司运营和安全的一些考虑,还可以引荐或开发必要的工具、策略和规程来解决任何问题或需求。”托马斯说道。
IT/安全复合角色带来益处的例子,是在数年前一套电子医疗保健记录系统的开发中体现出来的。“伴随那套系统的实现,我们用以支持健康记录安全电子访问的技术策略和能力,也进行了深刻的审查和重构。”
但这不意味着就没有重大挑战存在,最近的一个,是关于新医疗业务的购置。“有时候,作为CIO,必须得面对一些政治挑战,比如尝试向医师解释为什么他/她不能按以往单干时期的方式做事。”
其他时候,则有些技术问题要攻克,比如现有工作站重用引发的问题,审计当前配置以确保没有恶意软件且能够支持安全策略和安全软件等等。
良好沟通是应对挑战的关键。“我们有例行管理周会,讨论公司当前问题。很多时候安全问题就在会上提出,并形成解决方案。”