企业安全的大环境
根据企业或组织的不同规模,对企业信息安全的发展最具影响力的人物一般都是C级高管(CEO、CTO、CFO或COO等等)或董事会成员。不过在很多规模较小的组织中,负责信息安全保护任务的很可能会是非管理层的人员,而且有时这个重任甚至全部都压在了某一位IT员工的身上。
无论负责企业安全管理工作的人是谁,任何一个企业或组织不仅要将信息安全方面必要的投入成本加入预算之中,而且还要让“信息安全”成为企业文化的一部分。
信息安全公司Rapid7的副总裁Josh Feinblum认为:
“企业或组织之所以会认真考虑信息安全问题,主要有两个原因。其一,这个组织有一个极具前瞻力的领导团队,他们认为信息安全非常重要。其二,这个公司曾经发生过严重的安全事件。”
在大多数情况下,无论你职位有多高资历有多深,你的影响力永远无法与一次严重的安全事件相提并论。但是随着时间的推移,很多企业高管现在也希望这种情况能够得到改变。除了公司内部对信息安全的要求之外,公司其他的合作方也会要求他们在安全检测和灾难应急响应上面下功夫,所以现在的情况也许并没有我们想象中的那么糟糕。
驱动企业安全发展的因素
实际上,让企业的信息安全不断发展的驱动力往往来自于外部,而非企业的内部,尤其是在企业面临并购或合作的时候。因为很多时候对方公司都会说:“如果你们能够在接下来的半年内解决安全问题的话,我们就可以继续合作下去。”
ISSA高级成员兼ISACA董事会成员Darrell Drystek表示:
“引起安全问题的根本原因是企业管理上的失败。这是一个企业管理方面的问题,而不是一个技术问题。”
在一个组织中,只有当领导层真正认为对企业影响最大的因素是信息安全时,我们才有可能朝着安全的方向继续前行。如果他们认为信息安全并不重要,那么他们就不会把安全放在优先考虑的位置,那么作为安全团队的我们也将会举步维艰。
为了驱动企业的信息安全发展,公司里必须有一个能够代表“信息安全”发出强有力声音的人。这个人既可以是公司的首席信息安全官(CISO),也可以是一名高级安全专家,但他必须是一个务实的人。
对于某些小型企业而言,信息安全则是一个不小的挑战。Tycoon的首席技术官TravisRosiek表示:
“对于小型企业的高管而言,他们的工作就是如何有效地消减预算开支。这些小型组织的人手不够,可用预算也非常少。那么在资源有限的情况下,他们必须保证企业能够给用户提供正常的服务,公司的网络系统能够正常运转。只有在完成这些任务之后,他们才会去考虑安全方面的问题。不过小型组织在某些方面也是有优势的,在小型企业中,信息技术部门和安全团队之间的联系是非常紧密的。当某些安全危机或可疑事件发生时,他们可以立刻展开密切的合作来解决问题。现在越来越多的公司也开始意识到,任何人都有可能是黑客的攻击目标。不过,仍然有很多组织依旧天真地认为他们不会遭到黑客的攻击。”
安全对于企业的重要性不言而喻
怎样才算一个成熟的企业呢?当一个企业拥有一位有远见的CISO或CIO时,这个企业才有可能进步,才有可能变得更加成熟。Rosiek认为:“从一个成熟的角度来看,当公司中的CISO可以直接向CIO报告工作情况,并且董事会愿意花时间去听他们做报告时,这个组织的信息安全才会进步,而这类组织绝对是将安全放在优先位置的。”
换句话来说,如果这名CISO在企业内等级很低且在安全方面没有任何远见的话,那么他们在申请预算的时候可能就会遇到很大的麻烦了。正因如此,如果企业真的想在信息安全方面得到发展和进步的话,必须要让企业负责安全的人直接与高层决策者沟通。
无论你是财富五百强企业(由《财富》杂志评选),或是一家中等或小型规模的公司,你都需要让企业的决策者去决定如何处理当前存在的安全问题。但是安全团队必须要明确地指出当前存在的安全问题以及有可能会面临的安全风险,而是否采取行动则取决于企业的决策者,因为他们才是安全风险的直接承担者。
Vectra Networks的首席执行官Hitesh Sheth在接受采访时表示:
“在很多规模较大的企业中,首席信息安全官(CISO)既要负责安全策略的制定,又要负责向上级申请预算。在财富五十强企业中我们经常会看到,CISO往往需要参与多项工作,而且这些企业的董事会同样也会加入进来,因为“信息安全”已经成为了董事会经常需要讨论的话题。随着更多的利益相关者参与进来,企业安全团队的预算空间也就会更大,这会迫使每一个人站在更高的角度去思考安全问题。”
大家都需要安全感,但又有多少人会真正地去思考安全问题呢?Drystek表示:“我们作为信息安全行业的一员,我们有责任也有义务让用户通过最简单的方法去保护信息的安全,我们要培养他们对安全的敏感程度,我们要让他们知道数据真正的价值所在。”
我们要让企业的决策者明白,这些安全风险将会直接影响到企业的效益,只有部署复杂的安全保护程序才可以为企业的发展铺平道路。实际上,除了CISO和CIO之外,影响企业安全进步的最大因素就是管理层对安全的观念和理解。
本文转自d1net(转载)
