凡做企业,要取得成功,有两点很重要:一是先进的管理思路和经验,一是精干的组织团队。推到信息安全的建设上来,道理也是一样的。环境和技术都在不断变化,安全管理思路便须是新的思路,团队也须具备新的质素。近年来数不穷尽的泄密案例使企业主都懂得以前车之鉴,早几年前便建起了IT部门。发展至今,一些大型企业有了信息安全管理委员会,有了自己的CIO,信息安全管理也初具规模。
但这情况仅限于一部分大企业而已,在国内,仍然存在一大批粗放型的信息安全管理企业。这首先表现在信息安全团队的建设上:有的企业IT部隶属于财务部或总务部,甚至整个公司就只设两三个网管员;团队的管理思路偏重于IT运维管理等日常运营,眼光只盯着IT技术,并不注重其他技术能力的培养;IT部跟业务部门的沟通也仅限于电脑故障等层面,对业务的了解并不多。这种情况持续多年下来,似乎也并无大碍。
然而,时代在不断进步,你的信息安全团队怎能“垂垂老矣”?现在错综复杂的商业环境,威胁环境、新技术采用、以及监管审查的不断变化,企业信息安全团队的工作重点和职责都被迫发生了巨大转变。那种“以不变应万变”的老做法已然不合时宜了。我们必须建立这样的新型的企业信息安全团队:
一、需要了解业务
无论怎样革新,最终目的都是为了企业的成长。脱离企业的具体业务改组团队,也只能是隔靴搔痒,不能使信息安全建设最大程度地服务于业务。在以往,信息安全部门与业务部门是存在“隔阂”的,部署系统前没有深入的调研基础,因而只能笼统、简单地采取“一刀切”的惰性管理方法。只有了解诸如从战略计划到研发设计、原料采购、生产、销售等一系列的业务流程,了解各级部门存在的风险控制点,才能制定出符合企业实际的、有效的信息安全管理方案。
二、具备一些安全领域不常用的技术
这些技能如业务风险管理、数据分析、法律、市场营销等。比如看松下电器,在组织上,它建立了专业完整的信息安全事务管理局,一路打通从信息技术部门到业务部门的脉络;在管理上,它从文件、邮件、U盘、打印、网页访问、PC离线等方面进行控制,并划定风险指标,定期向业务部门发送风险征兆报告、业务部门定期反馈报告问题,使企业安全看起来天衣无缝。不具备一定的风险管理、数据分析技能,无论如何都不可能达到如此精细化的管理效果的。
三、具备服务意识
信息安全团队应该以“服务于其他部门”来定位自己,但实际的情形往往相反,多数是安全团队闷声闷气地搞了一套系统回来,突然在全公司强制要求人人遵守。业务部门不但觉得是“变麻烦”了,而且在心理上难以接受这种强制式的管理。如果安全团队在将安全理念付诸实际时,始终抱着“我所做的一切,都是服务于你的业务”这样的心态,与各个部门进行平等的沟通,并通过良好的安全策略形式展现解决方案,让业务部门充分领会这些理念,那么业务团队将会把你定位成一个贡献者,而不是阻挠者;企业中每个人也都相信安全的重要作用并且支持安全团队,而不是去规避了。
四、与业务团队须实行联合问责模式
考虑到信息安全是公司大事,绝非仅仅是安全团队的责任,因此有必要与业务部门练手共同管理网络安全风险,协调制定统一的应对方法,为业务开展提供便利,并明确责任分工。确保企业的业务经理和管理人员对信息安全负有共同责任,使其明白他们的网络风险也是业务风险的一部分。
五、了解什么技术在不断涌现,以及如何运用这些新技术
要关注市场上在发生什么,关注你所在行业或平行行业的贸易报道、商业新闻,并积极和公司领导交谈。为什么?因为我们的理念必须比行动出发得更早,理念的更新要求你时时触摸到最新鲜的动态。
总而言之,信息安全团队建设必须联系业务的特点进行,并在与业务部门的联动中,发挥信息安全团队的最大作用,正如汇丰控股公司的基础设施安全集团主管鲍勃罗杰所言:“核心安全团队的专业知识应主要用于为业务部门提供咨询、提供指导、驱动战略、确定及阐明风险、了解威胁、推动企业发展—而不应被日常经营活动所累。”这才是新型信息安全团队应有的风貌和特性。