我曾經(jīng)做過幾個組織的CISO(首席信息安全官)，那時如果組織要實施新的技術(shù)和業(yè)務(wù)實踐，安全團(tuán)隊總是會和一個污名聯(lián)系在一起。我的安全團(tuán)隊有機(jī)會提供安全輸入時，總是被組織視為這是在對新的想法說“不”。對于現(xiàn)在很多信息安全從業(yè)者，這個不好的看法仍然存在。

事實上，信息安全團(tuán)隊和他們所服務(wù)的組織之間的關(guān)系遠(yuǎn)比這個復(fù)雜，企業(yè)非安全管理人員至少應(yīng)該明白，安全團(tuán)隊的作用是保護(hù)公司，公司的知識產(chǎn)權(quán)和品牌。而最有效的保護(hù)方法就是通過開發(fā)不限制公司業(yè)務(wù)的安全策略。

現(xiàn)在，每個企業(yè)在信息安全管理方面都必須做得更多更快。企業(yè)領(lǐng)導(dǎo)者很容易因為CISO提供的任意認(rèn)知障礙而感到沮喪，往往試圖找到自己的解決方案。云計算、SaaS和BYOD等新潮流讓規(guī)避傳統(tǒng)IT和安全流程變得更簡單。

每個CISO都必須管理他所在組織的技術(shù)和業(yè)務(wù)流程變化，以確保安全在一開始就得到保障。然而，CISO的責(zé)任是確保技術(shù)是安全的，而不是禁止新技術(shù)。在這篇文章中，我們將探討一些業(yè)務(wù)經(jīng)理和其它利益相關(guān)者可以購買的安全策略，這些安全策略最終可以讓業(yè)務(wù)流程變得更安全，更有保障。

最初的理念

正如我過去在專欄中指出的那樣，CISO需要不斷地理解一些關(guān)鍵理念。如果安全團(tuán)隊將這些理念付諸實際，而客戶又理解這些理念，那么就很容易讓企業(yè)中每個人都相信安全的重要作用并且支持安全團(tuán)隊，而不是去規(guī)避安全團(tuán)隊。

對違例有所設(shè)想。開發(fā)新技術(shù)和流程時，工作人員應(yīng)該認(rèn)識到，沒有什么是萬無一失的，違例總會發(fā)生。因此，當(dāng)組織推行一些支持BYOD這樣的新技術(shù)的策略時，制定降低風(fēng)險的控制措施是很重要的，如數(shù)據(jù)孤島(也被稱為飛地)。花時間幫助企業(yè)領(lǐng)導(dǎo)者和其它利益相關(guān)者了解違例的風(fēng)險總是存在的，而一些額外的安全層，如新的編碼評論或添加保護(hù)，可能適用于這一新技術(shù)理論，降低風(fēng)險。

了解業(yè)務(wù)。CISO和安全人員需要了解業(yè)務(wù)。這樣可以讓安全團(tuán)隊成為解決方案的一部分，確保技術(shù)的安全使用，如云計算或BYOD。而且還可以促進(jìn)安全團(tuán)隊和業(yè)務(wù)團(tuán)隊的合作，往往可以引發(fā)關(guān)于如何讓新興系統(tǒng)更安全的更好想法。向業(yè)務(wù)經(jīng)理解釋為什么必須實施某一特定安全措施時，安全團(tuán)隊可以提供深刻又基于事實的理論，再也不會只說“因為我認(rèn)為如此” 這樣沒有說服力的理由了。

盡早并經(jīng)常考慮業(yè)務(wù)安全問題。一旦企業(yè)考慮實施或推出新技術(shù)，安全團(tuán)隊需要成為討論組的一部分，項目一開始安全團(tuán)隊就需要在腦中構(gòu)思業(yè)務(wù)安全策略。如果CISO和他的團(tuán)隊沒有參與到項目形成理念、架構(gòu)和實施過程中，業(yè)務(wù)安全方面很有可能會失敗，更糟糕的是，當(dāng)業(yè)務(wù)后期遇到安全問題時，通常會導(dǎo)致需要昂貴資金解決的危機(jī)。因此，安全團(tuán)隊必須一開始就參與到項目討論中，協(xié)助業(yè)務(wù)團(tuán)隊讓項目順利進(jìn)行，并將安全風(fēng)險控制在管理人員可承受能力范圍內(nèi)。企業(yè)領(lǐng)導(dǎo)者需要將安全團(tuán)隊視為新項目解決方案的一部分。

如何進(jìn)行

想要在這些情況下孕育成功，在討論時帶來解決方案是最關(guān)鍵的。不要專注于企業(yè)的利益相關(guān)者提出的安全相關(guān)問題，一開始應(yīng)該是制定促進(jìn)安全使用的政策。例如，一個組織如果要推行BYOD策略，那么它可能需要某些業(yè)務(wù)規(guī)則，如設(shè)備丟失或被盜時馬上聯(lián)系IT人員。安全策略不僅僅可以幫助組織在保護(hù)企業(yè)數(shù)據(jù)安全時采取必要的步驟，而且可以幫助員工極可能少地遭遇業(yè)務(wù)中斷情況。

為了了解什么技術(shù)在不斷涌現(xiàn)，以及如何運(yùn)用這些新技術(shù)，就要關(guān)注市場上在發(fā)生什么：每天關(guān)注你所在行業(yè)或平行行業(yè)的貿(mào)易報道、商業(yè)新聞，并積極和公司領(lǐng)導(dǎo)交談。CSA(云安全聯(lián)盟)是一個集合安全想法資源的很棒平臺，企業(yè)領(lǐng)導(dǎo)者也認(rèn)為CSA很有價值。CSA有各種各樣的出版物，里面包括那些專門針對云安全和BYOD的文章。在架構(gòu)和部署新項目的會議上，作為CISO，應(yīng)該要考慮將這些標(biāo)準(zhǔn)和文檔帶到會議桌上，讓大家都可以了解并討論。

在會議桌上以良好的安全策略形式展現(xiàn)解決方案，業(yè)務(wù)團(tuán)隊會將你定位成一個貢獻(xiàn)者，而不是阻饒者。引用外部資源，表明你一直在關(guān)注新技術(shù)的變化，這可以提高你的信譽(yù)。

全球范圍內(nèi)還有需要通過審核的優(yōu)秀安全策略指南和技術(shù)指導(dǎo)，包括來自NIST(美國國家標(biāo)準(zhǔn)技術(shù)研究所)和ENISA(歐洲網(wǎng)絡(luò)與信息安全局)的各種出版物。

這些指南不僅僅對于教育安全團(tuán)隊關(guān)于國家和國際標(biāo)準(zhǔn)很有效，而且可以幫助教育企業(yè)領(lǐng)導(dǎo)者和技術(shù)實施人員，在沒有CISO的情況下，他們通常被視為FUD(恐懼，不確定和懷疑)的傳播者。帶來并實施可行的想法可以讓新技術(shù)系統(tǒng)更安全，其結(jié)果是，支持新技術(shù)的安全策略和程序會給新技術(shù)一些“外部的支持”，這樣就可以為這個新技術(shù)提供一個更好更可信的基礎(chǔ)。

結(jié)論

一個CISO不能對企業(yè)領(lǐng)導(dǎo)者和終端用戶所提出的想法簡單的說“不!”。相反，CISO應(yīng)該依靠他們的安全團(tuán)隊和業(yè)務(wù)部門協(xié)同合作，幫助他們開發(fā)、部署和維護(hù)一種安全技術(shù)來降低業(yè)務(wù)的風(fēng)險。而且，管理人員和員工都要接受教育，知道如何面對安全威脅，為什么安全方面對于公司和個人成功推出一個新項目是至關(guān)重要的。