与业务安全保持一致的网络安全领导者的日常工作

未来属于能够将目标与对业务风险的理解保持一致的网络安全领导者。要实现这一目标，以下是八项日常需要采取的行动。

我从事网络安全工作已有 20 年。一直负责执行技术端的渗透测试和恶意软件分析。运行入侵检测程序和安全操作中心是我的日常工作，检查所有组件的策略和合规性也是我的工作职责。就我目前在 Tenable 担任的职务而言，我可以做到对 40 种安全工具的供应商关系了如指掌，而且可以对每种工具日常的作用和运行方式对答如流。对于团队在近 30 天修复了哪些系统漏洞，我可以提供完整详尽的信息。但无论我是以目前的职务身份或是在之前就职的企业，当我与业务高管和董事会提及这些工作内容时，却屡遭碰壁。

在我的日常工作中，总会被问及一个看似浅显的问题：“我们有多安全？面临的风险有多高？”而如何让自己能够更有针对性地回答这一问题，是我这 20 年来一直在探索的事情。 

Tenable 在今年初委托 Forrester Consulting 开展了一项纳入全球 800 多位业务和网络安全领导者的研究，探究其症结所在。总结的几点原因如下：网络安全和业务团队间的脱节由来已久，而安全领导者在技术、流程和数据方面的局限性加剧了这一现象。

但如果没有充分考虑到造成这种脱节的核心人为因素，难免会走入误区。

业务即第二语言

CISO 与其他网络安全领导者是公司高层中特别的参与者。我们务必要做到同时流畅地使用技术与业务语言。但与拥有商科硕士或其他类似的教育背景的财务或销售同事不同的是，大部分网络安全领导者拥有的是计算机科学等技术背景。我们往往经由企业技术岗位得到晋升。在最终成为一名高级管理人员或最高管理层时，这将成为我们最直接的劣势因素。 

技术是我们的第一母语。我们所使用的工具和流程全都基于技术语言，因此可以用母语做出清晰地表达。尽管大部分安全领导者也已经学会了“以业务作为第二语言”，但这种脱节现象仍然存在，部分原因在于我们工作所需的工具和框架并不适合于直接转换成业务语言。

在与 Tenable 的一次访谈中，Rick Vadgama （全球线上差旅平台的副总裁兼 CISO）提到：“一定要了解如何转化一些从安全角度发现的问题，让这些问题关联到业务层面。了解漏洞种类和漏洞利用方式的信息安全专业人士不占少数，但这些人却没有办法将这些了解到的信息转换成日常业务人员可以理解的内容。他们对这种关联性一无所知。”

Vadgama 在大学时期主修金融与会计专业，在初入职场时，他曾有过业务岗位经历，在确立了自己的职业生涯发展方向后，他便转行到了 IT 领域。这种丰富的背景让他在现有的职务中受益良多。“我对业务层面有所了解，也掌握不少财务知识。并且在晋升前，我曾从事过 IT 岗位，有各类职能部门的工作经历，比如担任过 IT 总监，带领过网络和开发团队等，所以也很清楚这些职能部门的情况。所以，当我开始履任安全岗位职责时，我对情况已经有所掌握并有了一定认知，明白应该如何弥合技术人员与业务人员之间的差距。”

对于从技术岗位晋升成为网络安全领导者的人员，Vadgama 给出以下建议：“暂且搁置下安全保护工作，试着到其他职能部门工作体验一段时间，这样才能对业务或是团队的运行方式有所了解，之后再投入到信息安全工作中。”

每一天的工作计划

2003 年 SANS 协会的一篇论文所阐述的挑战在目前看来仍然存在：“[CISO] 的职责不同于其他最高管理层，甚至连 CIO 都不涉足这个领域。”

SANS 的论文详细说明了一些大部分 CISO 履行的最重要职责，包括：

• 作为企业代表处理客户、合作伙伴和普通公众对企业安全策略的询问。
• 作为企业代表与执法机构接洽，同时追查员工发动的网络攻击和信息窃取源头。
• 平衡安全需求和企业的战略业务计划，识别风险因素，并确定两者的解决方案。
• 制定安全策略和流程，在不干扰核心业务需求的情况下提供充分的业务应用程序保护。
• 计划和测试应对安全漏洞，包括可能会与客户、合作伙伴或普通公众讨论相关事件。
• 监督安全硬件和软件产品的选择、测试、部署和维护以及外包安排。
• 监督负责企业安全的员工团队，从管理防火墙设备的网络技术人员到安保警卫。

鉴于其岗位职责范围如此之广，很难明确如何在日常工作中的各项职责分配时间进行优先级管理。大部分人员更愿意停留在上面最后三项所代表的技术舒适区，每天的时间都投入在事件规划和监督运营中，以将其可能性降至最低。 

但停留在舒适区中并不能改善安全形势。根据 Forrester 的研究“业务一致型安全管理人员的崛起”表明，94% 的企业在过去 12 个月内经历过造成下列至少一种影响业务的网络攻击：损失客户、员工或其他机密资料；日常运营中断；为勒索软件支付赎金；财务损失或遭窃；和/或知识产权遭窃。绝大部分受访者 (77%) 预计未来两年网络攻击还会增加。

研究还发现，66% 的业务领导者对于安全团队量化企业风险或安全水平的能力信心不足。 

成为与业务安全保持一致的信息安全领导者：8 大步驟

很明显，一些改变势在必行。作为安全领导者，我们需要找到改进业务一致性的方法。这需要在日常工作中注重点滴累积。安全领导者需要注意如何对时间进行优先级管理，以确保安排好日常运营，从而有足够的时间把精力集中在业务一致性中。

马德里 LafargeHolcim IT EMEA 的 IT 安全和内部控制主管 Jose Maria Labernia Salvador 在与 Tenable 的访谈中提到：“要想成为能够与业务保持一致的网络安全领导者，做到为业务创造价值并建立一种各司其职的互动循环尤为重要。符合业务发展的使命和愿景也占有重要地位，并且还要构建一种彼此信任的合作关系，确保可以畅通无阻地开展工作。”

在 Vadgama 看来，投入精力在企业间建立信任关系是关键所在。在目前就职的公司，他有幸加入了公司隐私权委员会。借助这一平台，他可以与法务团队领导者以及产品负责人和工程人员等同事开展合作。即便是在没有设立官方委员会的情况下，也可以在企业内部建立一种沟通渠道，实现人员畅联。

Vadgama 表示：“这其实不仅仅是与 IT 团队开会，还涉及与工程、市场营销和销售等其他团队的交流，并在各方之间搭建起沟通的桥梁。在这种关系模式下，一旦我们发现某些需要这些团队解决的问题，他们就会在我提及的当下，立即伸出援手。”

可以将以下八种实践融入日常工作中，从而迈进与业务安全保持一致的未来：

1. 每天投入时间阅览公司的对外文件。留意企业管理人员通过财务报表、新闻稿、新闻文章、社交媒体网站和行业论坛传达的信息。
2. 安排时间与业务线管理人员共同了解其日常挑战，建立融洽关系。了解他们的绩效度量方式。帮助他们将安全视为实现业务需求的助力，而非阻力。这样他们就更有可能在制定策略计划时及早邀请安全领导者参与。
3. 培养实务知识，了解行业中各家企业所面临的优先任务与挑战。加入行业协会或其他专业组织，阅读行业期刊上的企业间交流文章，参加网络研讨会与其他业界活动。这样能掌握实用的词汇与重要观点，有助于更好地将自己的安全计划与企业独特的业务需求保持一致。
4. 定期与最高管理层管理人员交流近况，并借此机会了解他们的关切点。只有了解了更广泛的业务痛点，才能开始培养全面认识，理解“风险”对企业的真正意义。
5. 利用季度业务审查，作为主要学习机会。仔细倾听其他主管提出的战略重点与难点，思考对其造成影响的外部业务因素。留意每位管理人员如何展示各自的业务投资回报，找到相应的方法定制自己的安全 ROI 指标。
6. 建立值得信赖的业务顾问网络。邀请不同业务领域的指导人员提供见解，建立自己的智囊团来精进沟通技巧，使之更贴合业务。
7. 与企业内的风险专家建立联系。网络安全既是一种特别的风险，也是所有其他业务风险对话中的关键因素。了解如何有效参与制定企业风险管理策略，并使网络安全处于前沿和中心地位。
8. 关注企业内发生的第三方关系。对关键关系（如工资处理或企业资源规划供应商）掌握实务知识。但对 Web 团队或负责维护和检修企业运营技术的服务和支持承包商所使用的工具和平台又具有多大的可见性？

除了有效履行岗位的所有其他职责之外，还要挤出时间完成上述所有工作，实在是令人望而生畏。任何人不可能一次性完成所有任务。请从中选择一到两个最能获得共识的工作，并以此为切入点。

Labernia 建议的一种方式是：“从上到下，逐步渗透。在对当今网络安全态势的复杂和风险程度有所了解后，业务领导者便会更加容易接受相关话题的探讨。随后，您便可以循序渐进地延伸到企业的其他关键部门领域。不妨试着转换下自己的沟通习惯，尝试多作了解而非一概否决。在明确目标后，找到可以安全开展业务的解决方式只是时间问题。”

主动选择跳出技术舒适区，成为更加与业务安全保持一致的安全领导者，不仅会使企业受益，更有助于个人的职业生涯，让自己在推动业务风险策略方面占据梦寐以求的“一席之地”。

阅读博客系列:如何成为与业务安全保持一致的网络安全领导者

本系列博客聚焦于使信息安全和业务保持一致所面临的挑战，以及信息安全领导者为何难以回答 “我们有多安全，或者有多危险？”我们还研究了新冠疫情应对策略为业务与信息安全的脱节带来哪些启发，探讨了当传达网络安全风险​时，现有的网络安全指标为何失灵，探索了实现业务一致性的五个步骤，以及观察了与业务安全保持一致的网络安全领导者的日常工作。

了解详情：

• 请在此参阅其他研究要点
• 下载完整研究业务一致型安全管理人员的崛起
• 阅读博文
  • 将信息安全与业务保持一致这绝非易事
  • 为何网络安全领导者难以回答“我们有多安全？”这个问题
  • 新冠疫情应对策略为业务与信息安全的脱节带来哪些启发
  • 传达网络安全风险：现有的网络安全指标为何失灵
  • 成为与业务安全保持一致的网络安全领导者的 5 个步骤
• 下载白皮书：成为与业务安全保持一致的信息安全领导者，需要采取哪些行动
• 阅读电子书：如何成为与业务安全保持一致的信息安全领导者
• 收听 Cyber Exposure 播客系列节目“采访 Tenable CSO Bob Huber”
• 观看网络研讨会：“业务一致型安全管理人员的崛起”