為什麼IT安全標準仍然失效？

IT安全主管拉瑪格納-賴特(LaMagna-Reiter)目睹了當一家公司的安全與IT兩個部門領導意見不一致時，會出現哪些問題。

該軟體開發公司的資訊保安主管（CISO）當時正與資訊官（CIO）合作，合作管理模式由傳統的瀑布式專案管理轉向敏捷專案管理。因為認識到需要更快地交付軟體來滿足業務目標，所以CISO和CIO都支援這樣的變更方式，但是另一方面，他們沒有就安全人員何時以及如何與開發人員互動達成一致，每個人僅僅就以最適合自己和部門的工作方式來工作。因此這種不和諧導致了產品發行週期的延長，最終沒有達成銷售目標。

全球IT戰略和管理服務公司FNTS的CISO拉瑪格納-賴特(LaMagna-Reiter)表示:“他們在為組織的最大利益而努力時沒有達成一致。”

資訊科技安全的缺失是一種常見的現象。專業諮詢、審計服務公司安永（EY）在2018-2019年的全球資訊保安調查中發現，77%的組織仍然只在有限的網路安全和彈性下運作。

與此同時，國際資訊系統審計協會發布的2018年網路安全文化報告發現，在4815名受訪企業和技術專業人士中，95%的人表示，他們所期望的網路安全文化與實際的網路安全文化存在差距。

美國國際資料集團（IDG）在2019年的CIO調查中發現, 只有64%的IT領導者認為安全策略與整個資訊科技策略相結合，這使得大約三分之一的組織在技術和安全功能之間缺乏強有力的一致性。

“大多數IT部門和安全部門不能很好地互動合作。他們也許會相互幫助、善待彼此，但我認為他們不會走得太遠，”弗吉尼亞州費爾法克斯市(Fairfax)網路安全諮詢服務公司MKACyber的創始人兼首席執行長Mischel Kwon說道。

幾位資訊保安官表示，隨著企業加快推進數字化轉型計劃，企業正在努力將資訊科技與安全同步。但同時也遇到了一些阻礙，由此，他們總結了一些常見的重要問題，並就CIO和CISO如何協調其資源和以共同追求一致的企業總體目標為優先提供了頂級策略。

阻礙與現實相對

NTT資料公司高階安全投資組合主管，ISACA大華盛頓特區分佈懂事蘇珊拉•奈爾說，如果要達到資訊科技和安全一致的話，這將會影響安全部門的發展，這是一個最重要和最常見的阻礙。她說：“網路安全沒有固定的管轄部門，所以大家都不想周旋於這個問題上。”這種觀點在企業界根深蒂固，因為網路安全曾經扮演著一個獨特的被孤立的角色，現在，通過企業和IT部門共同努力，在CISO的努力下，確保每一個人和每件事的安全。“從歷史上看，安全部門與其他部門是不同的，”奈爾補充道。

油田服務公司斯倫貝謝(Schlumberger)的研究員、CISO榮譽退休人員、網路安全解決方案提供商Onapsis的顧問馬里奧•奇奧克(Mario Chiock)表示，類似地，安全高管們曾傾向於提供悲觀的前景，以證明增加預算和昂貴投資的合理性。他表示，這也在安全部門與其他部門之間築起了一道牆，前者似乎擔心出現最壞的情況，而後者更習慣於在決策時平衡風險和回報。

當然，CISO不能忽視最壞的情況，但安全專業人士表示，他們可以學會更有效地分析這些情況，更好地對業務風險進行分類，並更清楚地向CIO和其他同事闡明這些風險。這使他們作為一個團隊能夠平衡業務目標和那些威脅之間的關係，並瞭解哪些威脅是最值得立即關注。

先識別問題 再尋找解決方案

在一份類似的報告中，幾位專家表示，安全團隊識別風險併發出漏洞警報的這一方法可以更好地協調工作上的遇到的阻礙。

安全部門所要做的不是推動業務，而是監督業務。安全部門的人經常會說：“你的電腦有一個問題，你需要修復它。”專業的資訊保安官會聯動其他資訊保安官，對他們的團隊進行交叉培訓，這樣每一方都能夠更好的瞭解、熟悉彼此的工作職能，知道哪裡有重疊，哪裡有任務的傳遞。這樣有助於讓安全部門人員瞭解開發部門的主要職責是開發程式碼，他們的任務不是建立程式碼，而是編寫能夠滿足業務需求的程式碼。出現問題時，他們都要一起尋找解決方案，專業的CISO會從對方角度考慮，即“我如何能夠幫助你做到這一點”。

防止出現錯誤的衡量標準

CISO和CIO也沒有開發出能夠幫助他們實現共同目標的度量標準。他們經常以上市速度和工作成果來評估開發人員，但是這樣的評估標準並不能使開發人員在安全問題上獲得良好的反饋，他們只會更惱火當提示自己的程式碼被提示出現漏洞而不能繼續作業時。專家建議他們在開發初期加強緊密合作和協作，以便更好識別問題並解決問題，從而避免影響發展速度。

越早的發現問題，其實也是在鼓勵開發人員和安全人員一起來解決問題。例如，圍繞組織檢測威脅的能力設計度量標準，並計劃如何提高該能力。或者他們可以共同努力測量和改進補救的時間。

沒有樹立正確的安全防護意識

專家們說，儘管十多年來，黑客入侵事件頻頻見報，但許多企業仍不重視，這樣的誤解使得CISO和CIO很難在安全問題投資上達成一致。如果對安全部門沒有充分的瞭解，就不能識別風險和發現最大風險，也不善於表達這些風險基於業務戰略目標和戰術目標。對CISO來說，最重要的是圍繞風險與CIO進行對話,而不是圍繞技術或工作亮點。

即將面對的挑戰

根據多個安全、IT和管理領導者的說法，CISO與CIO之間的關係，可能是組織中實現良好一致性的另一個大絆腳石。他們表示，當CISO在企業中沒有平等的話語權，當安全職能無法指導甚至無法與其他高管和董事會討論建立企業對風險的容忍度時，常常會發生偏差。這種情況更有可能導致CISO和CIO的相互競爭，從而將他們分開，而不是幫助他們朝著共同的目標對齊。他們每個人都必須對公司的發展方向負責，他們將如何為公司戰略和優先事項做出貢獻，以及他們將如何合作實現這一切。此外，CISO和CIO都需要將這些共享的優先順序傳達給他們的員工，一些專家說，CISO和CIO一樣，應該向CEO報告，因為這確保了優先順序的平等和一致。然而，其他人表示，CISO報告給CIO的組織結構更適合進行對齊，因為CISO和CIO將協同工作。然而，一些專家表示，根據企業的整體文化，這兩種情況都可能有所幫助，也可能有所阻礙。

儘管如此，專家們確實對CIO-CISO關係提出了一些共同的看法，這種關係超越了who-report -to-who的問題。他們說，雙方應該就如何選擇安全技術、如何解決安全問題以及如何處理和升級分歧等問題，明確界定各自的角色和責任。

CISO和CIO們應該努力擁有一組共享的事實和使用這些事實以確保透明到彼此的操作——兩大因素,幫助建立信任這就是一起工作。當看到不一致時，往往是因為一方或雙方不具備做出合理決定所需的全部資訊。所以，確保雙方說的是同一劍事，分享的是相同的事實，這確實很有幫助。但歸根結底還是關係、信任。它依賴於這樣一個事實，即雙方都相信對方把公司的最大利益放在心上，提供準確的資訊，並會照做。