下一代安全設(shè)備在提供新型精細(xì)控制機(jī)制的同時(shí)，也令基礎(chǔ)設(shè)施的復(fù)雜性進(jìn)一步加劇。IT安全與IT運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)對(duì)復(fù)雜的變化承受著巨大的壓力，因此，常常要求企業(yè)為其劃撥更多的資源。隨著問(wèn)題的加劇，IT部門開始重回起點(diǎn)、專注于自身的角色定位與職責(zé)劃分。

我們?cè)诨靵y狀況下往往忽略了大局觀，而大局觀恰恰是保障業(yè)務(wù)順暢高效運(yùn)轉(zhuǎn)的前提。

IT運(yùn)維與安全團(tuán)隊(duì)最終都要確保組織的系統(tǒng)運(yùn)作正常，這樣業(yè)務(wù)目標(biāo)才能順利實(shí)現(xiàn)。然而，二者需要從不同角度為業(yè)務(wù)連續(xù)性做出貢獻(xiàn)。安全部門的頭號(hào)目標(biāo)在于為企業(yè)提供保護(hù)，而IT運(yùn)營(yíng)團(tuán)隊(duì)則專注于保障系統(tǒng)正常運(yùn)轉(zhuǎn)。通常情況下，IT運(yùn)營(yíng)與安全團(tuán)隊(duì)必須協(xié)同努力、從各自角度出發(fā)達(dá)成共識(shí)，才能真正實(shí)現(xiàn)工作目標(biāo)。

但顯然，說(shuō)起來(lái)容易做起來(lái)難。

為了實(shí)現(xiàn)這一目標(biāo)，企業(yè)必須重新審視當(dāng)前IT與安全流程，并確定如何在添加或強(qiáng)化必要檢查與平衡機(jī)制的同時(shí)，不至于對(duì)生產(chǎn)效率造成影響。

這里我將與大家分享五項(xiàng)技巧，旨在加強(qiáng)IT安全與運(yùn)營(yíng)團(tuán)隊(duì)之間的溝通與配合。

1.重新審視信息安全團(tuán)隊(duì)與IT運(yùn)營(yíng)團(tuán)隊(duì)的角色與職責(zé)，并考慮如何處理變更管理與審計(jì)等雙方都需發(fā)揮明顯作用的領(lǐng)域。

2.從兩個(gè)部門中選擇管理者共同組成專職小組，通過(guò)探討制定出標(biāo)準(zhǔn)化流程，用于指導(dǎo)各團(tuán)隊(duì)如何共同處理日常事務(wù)及應(yīng)對(duì)緊急情況。這套標(biāo)準(zhǔn)流程需要考慮到雙方實(shí)際情況，并融入日常工作方案當(dāng)中。我們不可能預(yù)知用戶向網(wǎng)絡(luò)添加新設(shè)備的要求，但卻可以預(yù)先準(zhǔn)備處理這類要求。

通過(guò)與同事協(xié)商的方式制定事務(wù)處理規(guī)劃（或者像網(wǎng)絡(luò)升級(jí)、變更鎖定以及審計(jì)這樣的‘已知’工作），我們能夠***程度降低由變更給流程帶來(lái)的安全風(fēng)險(xiǎn)。雙方協(xié)定的結(jié)論將成為標(biāo)準(zhǔn)運(yùn)作流程中的組成部分，并以培訓(xùn)方式傳達(dá)給每一位團(tuán)隊(duì)成員。這種積極的方式確保團(tuán)隊(duì)面臨緊急情況時(shí)仍能做出正確響應(yīng)。

3.與企業(yè)管理者一同制定管理目標(biāo)與績(jī)效指標(biāo)，其中涵蓋個(gè)人與團(tuán)隊(duì)兩大層面。如果安全性由于糟糕的組織變更而遭受損害，那么每個(gè)人都要承受惡果。如果安全要求太過(guò)嚴(yán)格而導(dǎo)致服務(wù)水平協(xié)議無(wú)法與之匹配，那么業(yè)務(wù)就將受到嚴(yán)重影響。

【如今的IT更多的應(yīng)從業(yè)務(wù)需求角度出發(fā)，CSO能否從需要支持的業(yè)務(wù)應(yīng)用角度出發(fā)制定安全政策？又是否可以在無(wú)需豐富知識(shí)儲(chǔ)備或努力控制網(wǎng)絡(luò)層的前提下，將業(yè)務(wù)需求與安全保障有效整合在一起？此前發(fā)表的文章《CSO觀點(diǎn)：安全管理與業(yè)務(wù)如何實(shí)現(xiàn)一致》就這個(gè)話題展開了深入探討。】

4.建立協(xié)作關(guān)系并以強(qiáng)制方式推動(dòng)溝通。鼓勵(lì)各團(tuán)隊(duì)建立午餐討論活動(dòng)及戶外活動(dòng)，幫助各個(gè)部門之間建立交流通道。規(guī)劃一些有趣的IT組織活動(dòng)，讓不同部門的員工們彼此成為朋友，打破業(yè)務(wù)孤島這一不利局面。另外，每周、每月、每季度定期組織回顧研討，幫助兩個(gè)部門繼續(xù)關(guān)注內(nèi)部流程改進(jìn)（根據(jù)2012年網(wǎng)絡(luò)安全調(diào)查報(bào)告的結(jié)論，糟糕的內(nèi)部安全流程是企業(yè)面臨的頭號(hào)安全風(fēng)險(xiǎn)）。這些活動(dòng)不僅有助于各團(tuán)隊(duì)成員提高意識(shí)、共同決策，而且人們通常也更喜歡與友好的面孔進(jìn)行交流。

5.利用新近出現(xiàn)或經(jīng)過(guò)改進(jìn)的處理流程促進(jìn)協(xié)作，并讓雙方團(tuán)隊(duì)的日常工作更輕松。如此，站在全局高度的宏觀視角將使網(wǎng)絡(luò)環(huán)境的可用性與安全性同時(shí)得到提升。

***給各位CSO一點(diǎn)提示：當(dāng)一天的工作結(jié)束后，CSO應(yīng)該重新審視工作成果、檢查自身是否在安全與業(yè)務(wù)之間找到了***平衡點(diǎn)，一定要注意，保障其中一者不該以損害另一者為代價(jià)。

【本文編譯自securityweek，原文標(biāo)題：How to Cross the Divide with Your IT Operations Colleagues，原文作者：Nimmy Reichenberg。核子可樂(lè)協(xié)助編譯?！?/p>