網(wǎng)絡(luò)安全領(lǐng)導(dǎo)權(quán)之爭需要立即停止�����!缺乏明確負(fù)責(zé)人和全業(yè)務(wù)支持����,企業(yè)注定失敗�����。別再爭論����,賦予安全領(lǐng)導(dǎo)者應(yīng)有的權(quán)力和責(zé)任�����,否則將面臨巨大風(fēng)險����。
你是否曾聽到過有人在公司里認(rèn)真地問:“誰負(fù)責(zé)法律事務(wù)?”或“誰制定財務(wù)戰(zhàn)略?”可能沒有——因為答案應(yīng)該是顯而易見的�����。然而�����,當(dāng)涉及到網(wǎng)絡(luò)安全時�����,領(lǐng)導(dǎo)權(quán)的問題似乎仍然引發(fā)無休止的爭論����。
這種情況在20世紀(jì)90年代或許還能理解,當(dāng)時像首席信息安全官(CISO)這樣的關(guān)鍵安全角色仍在摸索階段�����。但時至今日�����,這無疑是一個嚴(yán)重的警示信號�����。
安全早已不再是小眾的技術(shù)問題,而是一項基本的業(yè)務(wù)職能�����。因此����,看到一些組織仍然將其視為新概念或事后補(bǔ)救措施,將其夾在IT和合規(guī)之間����,沒有明確的領(lǐng)導(dǎo)或方向,這實在令人沮喪����。
面對日益猖獗和組織化的威脅行為者����,爭論的時間已經(jīng)結(jié)束。網(wǎng)絡(luò)安全需要一位擁有領(lǐng)導(dǎo)權(quán)力的明確定義的領(lǐng)導(dǎo)者����。否則����,注定會失敗����。
誰應(yīng)負(fù)責(zé)網(wǎng)絡(luò)安全?
將十幾位不同的業(yè)務(wù)領(lǐng)導(dǎo)者聚集在一個房間里�����,詢問誰負(fù)責(zé)他們的安全�����,你可能會得到同樣多的答案�����。CISO似乎是最明顯的選擇����,但CIO、IT主管或其他類似角色也可能是答案�����。
實際的頭銜并不重要。重要的是他們是公司中最有資格的人����。在大多數(shù)情況下,這個人應(yīng)該是CISO����,但許多公司——尤其是小型組織——并沒有這個職位。
在這種情況下����,安全的責(zé)任必須向上級轉(zhuǎn)移。必須明確由某個人——COO�����、CFO甚至CEO負(fù)責(zé)����。“我們沒有專門的安全領(lǐng)導(dǎo)者”這樣的借口是站不住腳的�����。許多公司完全可以在沒有CFO的情況下制定財務(wù)戰(zhàn)略����,因此他們毫無疑問可以在沒有CISO的情況下制定安全戰(zhàn)略。
但真正的問題不僅是找到合適的人�����,而是確保他們擁有權(quán)威����、資源和全業(yè)務(wù)范圍的支持,以有效執(zhí)行任務(wù)�����。即使是最精明的CISO����,如果沒有支持,也只是一個傀儡�����,而由委員會負(fù)責(zé)的安全策略注定是一場災(zāi)難����。
除非網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者被賦予與法律或財務(wù)戰(zhàn)略同等的權(quán)威和責(zé)任�����,否則他們將繼續(xù)讓自己暴露在風(fēng)險之中�����。內(nèi)部的不確定性是網(wǎng)絡(luò)犯罪分子夢寐以求的脆弱目標(biāo)�����。
為什么安全不能孤立運作����?
多年來����,我們一直在爭論網(wǎng)絡(luò)安全是一個業(yè)務(wù)問題,而不是IT問題�����。然而�����,安全仍然經(jīng)常被當(dāng)作一個孤立的功能����,被放任在真空中運作。這是一個嚴(yán)重的錯誤����。如果安全領(lǐng)導(dǎo)者沒有在決策桌上占有一席之地,他們就無法真正影響更廣泛的業(yè)務(wù)戰(zhàn)略�����。
保障公司安全是一項團(tuán)隊努力����。正如CFO不會單獨“負(fù)責(zé)”財務(wù)成功一樣,CISO(或任何負(fù)責(zé)安全的人)也不應(yīng)該獨自戰(zhàn)斗�����。
盡管應(yīng)該有一個明確定義的安全領(lǐng)導(dǎo)者����,但高管層必須共同承擔(dān)責(zé)任,確保安全嵌入到組織的每一個方面。
安全策略必須是自上而下的�����,而不是自下而上的�����。如果領(lǐng)導(dǎo)層不推動它�����,再多的技術(shù)控制也無法拯救企業(yè)�����。安全政策——無論是強(qiáng)制執(zhí)行多因素認(rèn)證(MFA)還是設(shè)置數(shù)據(jù)治理規(guī)則——不應(yīng)該被視為IT指令�����。它們是業(yè)務(wù)決策�����,必須被如此對待����。
治理是強(qiáng)大安全戰(zhàn)略的支柱
將網(wǎng)絡(luò)安全作為團(tuán)隊努力的一部分�����,很大程度上有賴于適當(dāng)?shù)闹卫碇С帧H欢?���,網(wǎng)絡(luò)安全往往被視為一種模糊的愿望,而不是一種結(jié)構(gòu)化����、可問責(zé)的功能。沒有治理的策略不過是一張愿望清單����。
沒有明確的治理,安全工作很容易變得被動�����、脫節(jié)����,并容易被董事會上聲音最大的人否決。
治理確保網(wǎng)絡(luò)安全是一項可執(zhí)行的業(yè)務(wù)優(yōu)先事項,而不是一項勾選框的練習(xí)����。這意味著制定明確的政策,定義風(fēng)險容忍度�����,最重要的是�����,確保安全決策基于實際的業(yè)務(wù)需求����,而不是內(nèi)部政治。
此外����,治理不僅僅是自上而下的指令。它是一條雙向通道:董事會設(shè)定方向����,但來自安全團(tuán)隊和運營人員的反饋會對其進(jìn)行優(yōu)化。僅存在于紙面上而沒有業(yè)務(wù)現(xiàn)實輸入的治理框架�����,與完全沒有治理一樣危險。
要使網(wǎng)絡(luò)安全與更廣泛的業(yè)務(wù)目標(biāo)保持一致�����,主要利益相關(guān)者需要保持定期溝通����。具體頻率取決于公司的規(guī)模和結(jié)構(gòu)����,因此每個企業(yè)都需要找到一個平衡點。重大投資和變更應(yīng)通過變更咨詢委員會(CAB)流程����,以確保一切都被考慮到。
外包:解決方案還是捷徑�����?
值得注意的是�����,對于許多企業(yè)來說,安全并不是內(nèi)部處理的����,而是一項外包功能。這通常是資源有限的小公司的選擇�����,缺乏資源來招聘和留住專門的網(wǎng)絡(luò)安全負(fù)責(zé)人�����,但大公司也可能如此�����。
在我的職業(yè)生涯中����,我曾經(jīng)歷過雙方的角色,既擔(dān)任過顧問����,也管理過外部供應(yīng)商。
一個重要的教訓(xùn)是����,如果企業(yè)只是簡單地將任務(wù)拋給一群顧問����,并說:“為我們制定一個網(wǎng)絡(luò)安全策略”����,這是行不通的。沒有適當(dāng)?shù)妮斎牒头较?���,結(jié)果可能并不適合你的公司。
多年前����,我曾在一家公司工作����,我們將業(yè)務(wù)連續(xù)性規(guī)劃外包給一家大型供應(yīng)商。他們制定了一份詳盡����、精美的200頁計劃……但這完全不適合我們的業(yè)務(wù)。我們重寫了它�����,最終將其精簡為15頁,緊密貼合我們的需求�����。
另一方面����,作為顧問,我曾幫助創(chuàng)建了一些優(yōu)秀的框架�����,公司負(fù)責(zé)大部分工作——我只是提供一個框架�����,并提出正確的問題����,引導(dǎo)他們以正確的方式思考。
我還強(qiáng)烈建議�����,如果你不愿意保持參與,那就不要外包����。安全不是一次性交付的持續(xù)監(jiān)督和問責(zé)無法完全外包。
少談多做
沒有企業(yè)會期望在沒有明確的法律或財務(wù)領(lǐng)導(dǎo)的情況下取得成功����,那么為什么安全要有所不同呢?關(guān)于網(wǎng)絡(luò)安全領(lǐng)導(dǎo)權(quán)的無休止?fàn)幷撔枰V埂?
確定負(fù)責(zé)人�����,賦予他們領(lǐng)導(dǎo)的權(quán)力�����,并確保他們擁有全業(yè)務(wù)的支持�����,以做好保障組織安全所需的事情�����。
停止?fàn)幷?����,開始決策����,賦予網(wǎng)絡(luò)安全應(yīng)有的領(lǐng)導(dǎo)地位。
