四年前,當Tim Callahan來到Aflac擔任CISO的角色時,這家保險業巨頭的企業安全已經深深植根于基礎設施團隊。
他對CIO提出的第一個要求是:讓我組建一個單獨的安全小組。Callahan承認,這種文化的轉變并不容易,但他認為,這種劃分實際上帶來了更好的合作。
“網絡和安全是倆個截然不同的角色,將它們混合在一起是危險的,”他說。“在我們這個受到嚴格監管的行業中,我們必須表現出職責分離。”
在合格的安全專業人員人才庫不斷萎縮的情況下,為一個封閉的安全團隊進行辯護對安全領導者來說并不容易。分析公司ESG發現,從2014年到2018年,在一項關于IT狀況的全球調查中,聲稱自己所在機構存在網絡安全技能短缺問題的受訪者比例從23%增加了一倍多,達到51%。
不過,Callahan認為,只要你清楚地傳達了每個團隊的目標,以及團隊成員所需承擔的角色和責任,并且愿意使用創新和自動化來補充人力資源,你就可以成功地將其重組為兩個團隊。
在Aflac,安全部門負責監控環境,向組織通報攻擊和漏洞,并制定標準和協議。“我們通過一個強大的漏洞管理計劃來確定風險,然后為網絡團隊制定補救的優先次序,”Callahan說。“清晰的界線可以促進對彼此職業的尊重,并營造一個更健康的整體環境。”
Aflac安全團隊使用責任分配矩陣,繪制出在項目生命周期的不同階段需要哪些參與者進行負責,以及哪些需要被告知。不過,Callahan認為,只有當安全被視為每一項IT工作的重要組成部分時,這種方法才會有效。
“我們在網絡團隊開發周期的早期就被引入了進來,以確保創建的代碼是真正安全的,”他說。“我們不會在生產前就發現問題,所以我們只能決定是讓它變得‘不安全’還是被指責阻礙項目的推進。”
為什么要將安全與網絡團隊區別開來
Respond Software是一個自動化工具,它使用人工智能來模擬安全分析師的反應。該工具的聯合創始人Chris Calvert表示,重要的是,安全團隊不要在混亂的IT中迷失方向。
Calvert說:“我建立的一些安全運營中心將安全納入了IT,而它們最終都被淘汰了。”Calvert花了近20年的時間來為大型企業建立安全運營中心,包括IBM、殼牌石油公司、索尼公司和沃爾瑪。他發現,安全團隊通常聲音很大,在白板上討論如何阻止壞人時,他們就會變得活躍起來。相反,網絡運營中心則顯得更安靜,更專注于屏幕上的綠燈和紅燈。
Nemertes Research的首席執行官兼創始人Johna Till Johnson表示,如果公司決定將安全團隊單獨分開,還必須考慮領導層的報告結構。根據Nemertes對625個成功組織的研究,擁有最成功的安全運營指標的公司是那些CISO向CEO、CFO或首席法律執行官報告而不是向CIO報告的公司。“CISO的工作是將技術風險準確地轉化為法律風險,”Johnson說。當“CIO被授權開發這種技術,CISO被授權決定這種風險是否值得”時,這種情況就會變得混亂起來。
這也是Callahan的哲學。他直接隸屬于法律總顧問,總法律顧問則向首席執行官匯報。“這是一個非常重要的結構,”他說。“CIO和我是走出困境的合作伙伴,而不是從屬關系。”
Calvert說:“同地辦公可能不起作用,但交流可以。”他表示:“IT主管和安全主管必須為他們希望從團隊中獲得的緊密關系建模,因為如果他們不能和睦相處,他們的團隊也就無法和睦相處。”
除了IT之外,將安全性作為自己的專長也讓Callahan能夠更有力地論證自己的預算,這保證了資金充足的技術轉型和更新。
為什么要整合網絡和安全團隊
全球食品制造商SugarCreek的首席信息官Ed Rodden表示,軟件定義的網絡等技術正在模糊安全和網絡的邊緣,以至于分散的團隊會對企業不利。
一個由20人組成的團隊負責著這個快速增長的8億美元家族企業的所有基礎設施需求--包括網絡、存儲和安全。Rodden認為虛擬化(包括數據中心中VMware的NSX SDN平臺,該平臺在同一軟件中集成了網絡和安全控制)促進了統一的環境。他說,試圖與不同的團隊管理這樣的技術將是一場噩夢。
Calvert描述的喧鬧的白板場景確實也發生在SugarCreek,但它只發生在領導者之間。 Rodden說:“我們會定期把自己鎖在一個房間里,有條不紊地檢查網絡中的所有出口點,對我們的安全態勢進行全面審查。這迫使我們需要在安全和網絡方面達成共識。”
老板喜歡的快節奏也影響了Rodden的決定。“我們會收到一封電子郵件,說公司已經收購了一棟大樓來容納運營,我們必須在兩個月內完成無線和基礎設施建設,這樣一來,就沒有時間來應付那些職責分散的人所帶來的官僚主義,”他說。
網絡安全咨詢服務公司Friedman CyZen的常務董事Jacob Lehmann表示:“當安全團隊成員在自己的領域陷入如此深的困境時,他們將無法明白事情是如何構建的,因此也不知道如何更好地保護它們。”
他補充說,隨著企業進一步的進入云計算領域,它們將需要更好地集成網絡和安全,以制定明確的政策并加以實施。
“走向云端并不能彌補風險;在許多情況下,它可能會增加風險,”Lehmann補充說,團隊在做出決定之前需要能夠量化這種風險。 “每個人對風險的理解越好,他們就越能分清輕重緩急。”
彌合網絡和安全的鴻溝
將網絡和安全團隊分開的組織仍然可以通過教育和培訓來保持緊密聯系。
Johnson說:“安全部門可以舉辦關于安全編碼的訓練營、關于安全基本原理的午餐討論會等等。這樣,當兩個團隊需要互信幫助的時候,他們便已經很熟悉了。
Calvert說,安全團隊也可以向網絡團隊學習,學習包括像ITIL這樣的原則:“安全團隊學習網絡語言是有價值的。”
京公網安備 11010502049343號