IT主管们对于网络和安全专家应该在单独的团队中工作还是在一个集成的团队中工作存在分歧,但是他们一致认为良好的协作是关键,特别是在企业网络变得更加复杂的情况下。
四年前,当Tim Callahan来到Aflac担任CISO的角色时,这家保险业巨头的企业安全已经深深植根于基础设施团队。
他对CIO提出的第一个要求是:让我组建一个单独的安全小组。Callahan承认,这种文化的转变并不容易,但他认为,这种划分实际上带来了更好的合作。
“网络和安全是俩个截然不同的角色,将它们混合在一起是危险的,”他说。“在我们这个受到严格监管的行业中,我们必须表现出职责分离。”
在合格的安全专业人员人才库不断萎缩的情况下,为一个封闭的安全团队进行辩护对安全领导者来说并不容易。分析公司ESG发现,从2014年到2018年,在一项关于IT状况的全球调查中,声称自己所在机构存在网络安全技能短缺问题的受访者比例从23%增加了一倍多,达到51%。
不过,Callahan认为,只要你清楚地传达了每个团队的目标,以及团队成员所需承担的角色和责任,并且愿意使用创新和自动化来补充人力资源,你就可以成功地将其重组为两个团队。
在Aflac,安全部门负责监控环境,向组织通报攻击和漏洞,并制定标准和协议。“我们通过一个强大的漏洞管理计划来确定风险,然后为网络团队制定补救的优先次序,”Callahan说。“清晰的界线可以促进对彼此职业的尊重,并营造一个更健康的整体环境。”
Aflac安全团队使用责任分配矩阵,绘制出在项目生命周期的不同阶段需要哪些参与者进行负责,以及哪些需要被告知。不过,Callahan认为,只有当安全被视为每一项IT工作的重要组成部分时,这种方法才会有效。
“我们在网络团队开发周期的早期就被引入了进来,以确保创建的代码是真正安全的,”他说。“我们不会在生产前就发现问题,所以我们只能决定是让它变得‘不安全’还是被指责阻碍项目的推进。”
为什么要将安全与网络团队区别开来
Respond Software是一个自动化工具,它使用人工智能来模拟安全分析师的反应。该工具的联合创始人Chris Calvert表示,重要的是,安全团队不要在混乱的IT中迷失方向。
Calvert说:“我建立的一些安全运营中心将安全纳入了IT,而它们最终都被淘汰了。”Calvert花了近20年的时间来为大型企业建立安全运营中心,包括IBM、壳牌石油公司、索尼公司和沃尔玛。他发现,安全团队通常声音很大,在白板上讨论如何阻止坏人时,他们就会变得活跃起来。相反,网络运营中心则显得更安静,更专注于屏幕上的绿灯和红灯。
Nemertes Research的首席执行官兼创始人Johna Till Johnson表示,如果公司决定将安全团队单独分开,还必须考虑领导层的报告结构。根据Nemertes对625个成功组织的研究,拥有最成功的安全运营指标的公司是那些CISO向CEO、CFO或首席法律执行官报告而不是向CIO报告的公司。“CISO的工作是将技术风险准确地转化为法律风险,”Johnson说。当“CIO被授权开发这种技术,CISO被授权决定这种风险是否值得”时,这种情况就会变得混乱起来。
这也是Callahan的哲学。他直接隶属于法律总顾问,总法律顾问则向首席执行官汇报。“这是一个非常重要的结构,”他说。“CIO和我是走出困境的合作伙伴,而不是从属关系。”
Calvert说:“同地办公可能不起作用,但交流可以。”他表示:“IT主管和安全主管必须为他们希望从团队中获得的紧密关系建模,因为如果他们不能和睦相处,他们的团队也就无法和睦相处。”
除了IT之外,将安全性作为自己的专长也让Callahan能够更有力地论证自己的预算,这保证了资金充足的技术转型和更新。
为什么要整合网络和安全团队
全球食品制造商SugarCreek的首席信息官Ed Rodden表示,软件定义的网络等技术正在模糊安全和网络的边缘,以至于分散的团队会对企业不利。
一个由20人组成的团队负责着这个快速增长的8亿美元家族企业的所有基础设施需求--包括网络、存储和安全。Rodden认为虚拟化(包括数据中心中VMware的NSX SDN平台,该平台在同一软件中集成了网络和安全控制)促进了统一的环境。他说,试图与不同的团队管理这样的技术将是一场噩梦。
Calvert描述的喧闹的白板场景确实也发生在SugarCreek,但它只发生在领导者之间。 Rodden说:“我们会定期把自己锁在一个房间里,有条不紊地检查网络中的所有出口点,对我们的安全态势进行全面审查。这迫使我们需要在安全和网络方面达成共识。”
老板喜欢的快节奏也影响了Rodden的决定。“我们会收到一封电子邮件,说公司已经收购了一栋大楼来容纳运营,我们必须在两个月内完成无线和基础设施建设,这样一来,就没有时间来应付那些职责分散的人所带来的官僚主义,”他说。
网络安全咨询服务公司Friedman CyZen的常务董事Jacob Lehmann表示:“当安全团队成员在自己的领域陷入如此深的困境时,他们将无法明白事情是如何构建的,因此也不知道如何更好地保护它们。”
他补充说,随着企业进一步的进入云计算领域,它们将需要更好地集成网络和安全,以制定明确的政策并加以实施。
“走向云端并不能弥补风险;在许多情况下,它可能会增加风险,”Lehmann补充说,团队在做出决定之前需要能够量化这种风险。 “每个人对风险的理解越好,他们就越能分清轻重缓急。”
弥合网络和安全的鸿沟
将网络和安全团队分开的组织仍然可以通过教育和培训来保持紧密联系。
Johnson说:“安全部门可以举办关于安全编码的训练营、关于安全基本原理的午餐讨论会等等。这样,当两个团队需要互信帮助的时候,他们便已经很熟悉了。
Calvert说,安全团队也可以向网络团队学习,学习包括像ITIL这样的原则:“安全团队学习网络语言是有价值的。”