这取决于公司规模,在驱动安全发展上***影响力的人可能是高管,也可能是董事会成员,但非高管级管理人员,有时甚至是直接负责IT/安全的人,也会成为强劲的推动力。
无论是谁,每家公司都需要那么一个人,让安全不仅仅是预算清单上一个条目,还是公司整体文化中的一个部分。然而,更多的情况是,公司因两种原因之一而将安全摆上重要位置。重视安全的公司,要么有着相信安全非常重要的进取型领导团队,要么就是经历过重大事件的公司。”
这也正是为什么很多情况下人员没有事件有影响力的原因。虽然大多数管理人员都希望潮流能改变一下,但现状更能说明问题。当然,肯定有公司关注灾难或监管推手的缺失问题,但这通常是因为有别的公司这么要求。
因此,安全团队求改善往往需要很长时间的情况也就更常见了。***的问题之一,是部署双因子身份验证。不仅仅是在防火墙上,而是在数据中心内部设计的所有系统上。另外,网络划分和补丁及漏洞管理上也有很多问题。
有时是外部而非内部因素驱动公司的安全发展,尤其是在公司合并和收购中,因为收购方会要求对方的网络安全保障,例如雅虎在被被收购进程上因数据泄露而暂停,甚至有可能被取消。
“这些问题的根源,是管理的失败。这是个管理问题,而非技术问题。
——达雷尔·德里斯特克,信息系统安全协会(ISSA)高级成员,国际信息系统审计协会(ISACA)董事。
公司内部,真正相信且重视安全的管理团队,影响力***。缺了这个,那就是在从山脚强攻山头,想打赢几乎不可能。只要不真的坚信安全非常重要,安全就会被从优先列表中移除。
任何公司,想要驱动安全发展,都需要一个代表安全的务实而强有力的声音——一个CISO或高级别安全人士。懂行的领导团队不会去关心查单画勾式的形式化安全,他们会问坏人的行事方式,会管我们需要什么来阻止坏人的破坏行为。
鉴于这个原因,小公司面对的挑战还更大些。Tychon***技术官特拉维斯·罗斯耶克说:“他们通常人手不足,预算也很紧张。IT和安全工作都被推到了次要位置。保持系统在线,维持公司运转才是他们的优先考虑。”
只有一个人既领导IT又负责安全,那他们就没什么机会在减小整体风险的不同方面都有深入的专业技术了。小公司里高管的职位是为预算奋战。安全只是IT预算的一小部分。IT预算本就不多,其中一部分分给安全的就更是起不到什么作用。但是,小公司在某些方面也是有优势的。他们的IT和安全团队通常很强,而且独立。当出现危机或可疑事件时,他们可以很好地集结起来协同作战。
随着更多的公司意识到每个员工都是目标,董事会也更多地参与进来了。不过,仍有很多公司依然觉得威胁瞄的是别的公司,不是自己。这些更成熟的有进取心的公司,将会设置真正有地位的CISO或CIO。从成熟度的角度出发,当CISO直接向CIO汇报,并在董事会有发言权的时候,公司就真正重视安全了。
另一方面,当CISO没什么存在感且比高管低上三四个层次,他们在争取预算上就困难得多了。这就是为什么任何公司中真想推动安全发展的人,需要能直接与风险责任人沟通的原因了。
不管是财富500强、中型企业,还是夫妻小店,风险责任人都必须决定自身风险承受度。安全感是必须的,但很少有人想要真正考虑安全。作为安全人士,不得不替他们简化其间过程,教导他们认识数据的价值。只要涉及资金,大多数公司主管都不敢妄想忽略风险,但在数据上,这种认知出现了断层。
为什么沟通需要直接发生在风险责任人与安全管理人员之间?这就是原因。认识到风险是直接与业务相关的那些企业,也正是为高端安全项目铺路的那些。
财富500强企业通常体制严谨,信息传达到董事会之前会经过层层筛选。这些正式或非正式的沟通,大多数情况下会让安全团队将信息递送到正确的人手中。数据质量,包括完整性和可用性,是甄别准则。安全风险就是企业风险。合规只是弱安全,不过是保险问题而已。
对中小型企业而言,安全人员通常直接与企业主或非常接近企业主的人对接。除非手握正确的打开方式,否则很难说服他们投以关注。而数据质量和企业防护计划就是那正确的打开方式。数据损失和被盗的高发,就是懒惰与懈怠的结果。所有这些问题的根源,都是管理的失败。这是个管理问题,不是技术问题。高管层必须为公司设定基调。
为什么大企业里CISO通常都是推动战略和预算的主力?这就是原因。
财富50强公司中常常可以看到,CISO参与度很高,同时董事会也有涉入。IT成为了董事会的常规话题。当更多的利益相关者参与进来,也就开辟了更大的预算空间,更务实的对话。这会让每个人都去思考更宽泛的问题。若是厂商,那会有更多的利益相关者需要拉入进来。
最敏捷的,已经发现可用预算和快速反应能力之间平衡的公司,就是全球2000强企业了。这些公司规模正好,可以按自己的速度行动,能跟上市场脚步。他们会做自己的研究,CISO能用更大的团队驱动安全进步。
不考虑公司规模的话,***的影响力来自于公司利益相关者情感上的支持。因为安全发展中需要跨越的***障碍,就是对“安全就是各种限制”的认知,安全主管需要建立良好关系以获取利益相关者的支持。
【本文是51CTO专栏作者李少鹏的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】