赢得业务安全断开连接't die

在保护敏感数据方面,安全性似乎始终是业务落后的一步-尽管您做了所有've heard.

多年来,企业一直在谈论安全性对客户及其业务成功的重要性。但是,随着 在许多不同行业中有如此多的漏洞,很难让组织信守诺言。

多年来,许多安全经理和首席信息安全官都在谈论如何 房子的“业务”面不了解安全性,或者认真对待IT安全团队对风险的看法。

显然,在某个地方存在断开连接。

有关:聊一聊

一家大型区域医疗服务提供商的安全经理说:“ IT安全专业人员一直在寻找进入新应用程序或计划的要求和设计阶段的方法。”他说:“但是,直到项目真正开始,我们才经常出现在桌上。” “不幸的是,到那时,由于架构标准已成为需求中的福音,因此我们无能为力。此外,在不大幅增加成本的情况下,改善安全设计的那一步也无济于事。”

我们与CISO,运营团队成员和其他IT成员的讨论支持安全经理的主张:在许多组织中,安全性往往始终落后于业务运营一步。一家全球工程服务公司的企业架构师说:“通常,当我们将IT安全性纳入系统设计功能时,我们从安全性中听到的都是阻碍为什么不能安全完成工作的障碍。”他说:“在与业务部门交谈时,它们通常过于技术化,在讨论中还为时过早。”

有关: 新的CISO:五年以来角色如何变化

在业务经理,IT运营和IT安全之间存在着太常见的摩擦。脱节迫使安全团体采取不幸的立场 必须“加强”安全控制 一项新举措正在实施之后。这是一件更困难,更昂贵的事情。他说:“我们越早参与讨论,就越主动,越安全。”

其他安全经理援引应用程序开发团队尽可能长时间回避安全指南的尝试,以期将他们的指南推迟到过程中以至于变得无关紧要。在架构讨论的早期阶段,很少有IT安全专业人员谈论安全,开发和其他业务组之间的积极关系。

无法击败他们,加入他们

安全团队面临的挑战是成为讨论的组成部分。安全研究公司Securosis的分析师Mike Rothman说:“在讨论技术规格或新计划的风险之前,您需要首先采取其他措施。” “必须具备的“其他”是“信誉”。这一切都始于建立关系,与业务经理面对面。”

布莱恩·霍南(Brian Honan)是爱尔兰都柏林信息安全咨询公司BH Consulting的创始人,也是爱尔兰第一个计算机紧急响应小组的创始人和负责人,他同意:“您希望与企业保持稳定联系并建立这种关系,”霍南说。 “因此,当时机成熟时,您不是一个陌生的家伙,他突然从后台走出来,没人见过。”

在关键时刻表达自己的意见时,这种信誉和融洽相处很长。霍南补充说:“您还必须考虑自己在公司经营的行业中工作,而不仅仅是安全人员。” “只有这样,您才能建立公司所需的风险状况,并以业务领导者理解的方式发言。”

同样,安全专业人员提高声誉的最常见方法之一是不断地设置障碍,并声称由于风险而无法采取主动行动。霍南说:“向企业领导层解释项目中确实存在的风险以及减轻这些风险的成本。” “让企业决定是否要承担,完全避免或减轻风险。”

罗斯曼补充说:“这是说“是,但是”而不是说“绝不行”。向他们展示以不安全的方式这样做的现实世界风险。罗斯曼说:“使用剪裁和最近的例子或演示来阐明自己的观点。重要的是要以业务术语而非安全术语来进行交流。”

罗斯曼说:“如果您只是给人们设置障碍,该组织将找到绕过您的方法。”他说:“如果您想尽早参与讨论(当您可以在最终结果上影响真正的安全更改时,则必须先与业务部门联系,然后再按其条款解释风险”,他说。

乔治·赫尔姆在他位于明尼阿波利斯的家中撰写有关安全性和技术的文章。您还可以在Twitter @georgevhulme上找到他发布大量安全性术语。

版权© 2011 IDG通讯,Inc.