資源受限的IT公司必須在日常安全和IT工作中進行平衡。但困難和挑戰(zhàn)的背后，往往也伴隨著好處。

[[173484]]

你是否也在公司身兼數(shù)職，包括某些方面的信息安全呢?如果是，放心，你不是一個人。很多企業(yè)里，IT人員都被要求處理各種各樣的安全工作。對他們而言，身兼數(shù)職有機會，也有壓力。

近期對287名IT和業(yè)務(wù)人員進行的在線調(diào)查中，大多數(shù)受訪者稱自己的公司是由IT部門負責信息安全。相反，只有17%反饋說有專門的團隊處理信息安全。另外14%稱信息安全是由IT和信息安全員工共同處理，6%說自己的公司有包括信息安全在內(nèi)的專門安全團隊。這意味著，只有37%的受訪者工作在有專職信息安全員工的公司，這或許解釋了為什么很多公司難以跟上安全需求的原因。

IT部門負責信息安全

擔負IT和安全責任的人，或者管理這類員工的人，未必樂于看到這種情形，或者看到這種情形對他們公司安全項目的影響。但他們正在尋求解決辦法。

美國未來農(nóng)民組織( National FFA )，是個通過農(nóng)業(yè)教育促進職業(yè)成功的組織，成員數(shù)量大約有150人。近年來，該組織投入了大量工作來保衛(wèi)其系統(tǒng)和數(shù)據(jù)。

其IT與合規(guī)總監(jiān)喬爾·吉本斯負責所有的技術(shù)運營與開發(fā)，還有安全。吉本斯說：“我的運營團隊包含有一名安全主管，負責處理日常安全運作，尤其是安全領(lǐng)域方面的，主要就是通信、培訓(xùn)、規(guī)則與策略這些。”

安全對FFA非常重要，但安全工作的可見性發(fā)生了改變，部分是由于過去兩年間頻現(xiàn)報端的大量數(shù)據(jù)泄露事件。以前，CEO可以對自家安全團隊的工作充滿信心?，F(xiàn)在，CEO需要懂得更多，以回答諸如我們是怎樣保護公司內(nèi)需要保護的任何東西之類的具體問題。

在小公司，我可不敢讓我的安全員工真的只關(guān)注安全。

——喬爾·吉本斯

吉本斯和他14人組成的團隊要處理IT和安全的各方面事務(wù)，對他們而言，確保數(shù)據(jù)安全真可算個挑戰(zhàn)。“安全是個全職工作，而且還不止如此。在小公司，我可不敢讓我的安全員工真的只關(guān)注安全。總有其他事情需要他們?nèi)プ?。這可能會對安全造成負面影響?；蛘撸驗榘踩ぷ髡紦?jù)了他們大量時間而讓他們無暇他顧，對其他事情造成負面影響。這就是個日常平衡工作。”

IT部門的安全支出

為解決這個問題，F(xiàn)FA使用了自動化普通安全活動的工具，以減輕IT團隊中安全專家的負擔。“我們利用外部合作伙伴來輔助增強內(nèi)部安全專業(yè)知識，但不是替代。我們知道自己永遠不夠安全，必須持續(xù)改進。我們還知道，不可能做到100%成功。”

有鑒于此，該組織制定了應(yīng)急方案以應(yīng)對安全事件突發(fā)狀況。被人找出遺漏的切入點只是時間的問題，這就是當今安全戰(zhàn)場的本質(zhì)。

一位不愿透露姓名和公司名的紐約市區(qū)某中型金融服務(wù)公司IT主管，同樣需要在多個角色之間跳轉(zhuǎn)，除技術(shù)部門所有日常工作，比如幫助臺、桌面支持、工程和開發(fā)等等之外，還要負責網(wǎng)絡(luò)安全。他說，由于過去5年外部技術(shù)態(tài)勢不斷發(fā)展，他的職責增加了很多?，F(xiàn)在他的角色，已經(jīng)從傳統(tǒng)CIO，變成了全能CIO/CSO管理崗，必須保持自身在技術(shù)/安全領(lǐng)域的領(lǐng)先優(yōu)勢。

我們現(xiàn)在被要求成為所有技術(shù)的把關(guān)人，不僅僅要確保公司正常運轉(zhuǎn)，還要監(jiān)管整個公司。

——某金融服務(wù)公司IT主管

“挑戰(zhàn)之一，是在終端用戶希望享受與家中相同的無拘無束聯(lián)網(wǎng)自由的世界中，還要保持良好的安全。終端用戶不完全理解辦公室互聯(lián)網(wǎng)接入的限制需求。最困難的地方，在于網(wǎng)絡(luò)安全意識和培訓(xùn)，教導(dǎo)終端用戶在點擊之前三思，以及改變思維模式。”

這家140名員工的金融服務(wù)公司，其高管已經(jīng)意識到網(wǎng)絡(luò)惡徒們帶來的威脅，知道最好能夠保持更加安全并確保業(yè)務(wù)營運能力，而不是成為被黑公司列表上的新秀。“我們公司的理念是，寧可限制第三方訪問到僅供運營的程度，也要保障更加安全。”

因此，該公司除業(yè)務(wù)相關(guān)站點或服務(wù)外，其他所有訪問都被禁止，包括所有第三方電子郵件、云存儲和視頻流服務(wù)。

然而，這位IT主管手下只有4名IT員工，要完成他那擴張了很多的職責實在困難。他表示：“我們現(xiàn)在被要求成為所有技術(shù)的把關(guān)人，不僅僅要確保公司正常運轉(zhuǎn)，還要監(jiān)管整個公司——從防火墻邊界到入站/出站持續(xù)威脅管理。我不得不帶著一顆安全的心去學(xué)習網(wǎng)絡(luò)的陰暗面，就為了理解該怎樣保護我們的資產(chǎn)不受持續(xù)外部威脅和終端用戶易受騙性的損害。”

在綠色門診健康系統(tǒng)(GCHS)——北路易斯安那州一家內(nèi)科醫(yī)師開的醫(yī)療保健系統(tǒng)，杰森·托馬斯身兼CIO、IT主管和《健康保險流通與責任法案》(HIPAA)安全官3個角色，要確保GCHS符合HIPAA所有條款。他手下有4名全職1名兼職員工，他的部門負責處理整個系統(tǒng)全部5個門店的所有IT和通信事務(wù)，并要擔負起這家450名員工的公司內(nèi)部網(wǎng)絡(luò)安全部門的責任。

托馬斯說：“我常開玩笑說，只要插墻上的東西，就在我的管轄權(quán)里。但這其實更多的是一種友情提示人們應(yīng)該先找哪個部門的方式，而不僅僅是個玩笑。”

重疊的責任劃分

從安全角度出發(fā)，這種大范圍角色擔當確實能提供一些益處。“因為作為主管領(lǐng)導(dǎo)IT部門，我就擁有了對日常運營和挑戰(zhàn)的可見性，讓我可以直接向高層帶去關(guān)于公司運營和安全的一些考慮，還可以引薦或開發(fā)必要的工具、策略和規(guī)程來解決任何問題或需求。”托馬斯說道。

IT/安全復(fù)合角色帶來益處的例子，是在數(shù)年前一套電子醫(yī)療保健記錄系統(tǒng)的開發(fā)中體現(xiàn)出來的。“伴隨那套系統(tǒng)的實現(xiàn)，我們用以支持健康記錄安全電子訪問的技術(shù)策略和能力，也進行了深刻的審查和重構(gòu)。”

但這不意味著就沒有重大挑戰(zhàn)存在，最近的一個，是關(guān)于新醫(yī)療業(yè)務(wù)的購置。“有時候，作為CIO，必須得面對一些政治挑戰(zhàn)，比如嘗試向醫(yī)師解釋為什么他/她不能按以往單干時期的方式做事。”

其他時候，則有些技術(shù)問題要攻克，比如現(xiàn)有工作站重用引發(fā)的問題，審計當前配置以確保沒有惡意軟件且能夠支持安全策略和安全軟件等等。

良好溝通是應(yīng)對挑戰(zhàn)的關(guān)鍵。“我們有例行管理周會，討論公司當前問題。很多時候安全問題就在會上提出，并形成解決方案。”