事實(shí)上，信息安全團(tuán)隊(duì)和他們所服務(wù)的組織之間的關(guān)系遠(yuǎn)比這個(gè)復(fù)雜，企業(yè)非安全管理人員至少應(yīng)該明白，安全團(tuán)隊(duì)的作用是保護(hù)公司，公司的知識產(chǎn)權(quán)和品牌。而最有效的保護(hù)方法就是通過開發(fā)不限制公司業(yè)務(wù)的安全策略。

　　現(xiàn)在，每個(gè)企業(yè)在信息安全管理方面都必須做得更多更快。企業(yè)領(lǐng)導(dǎo)者很容易因?yàn)镃ISO提供的任意認(rèn)知障礙而感到沮喪，往往試圖找到自己的解決方案。云計(jì)算、SaaS和BYOD等新潮流讓規(guī)避傳統(tǒng)IT和安全流程變得更簡單。

　　每個(gè)CISO都必須管理他所在組織的技術(shù)和業(yè)務(wù)流程變化，以確保安全在一開始就得到保障。然而，CISO的責(zé)任是確保技術(shù)是安全的，而不是禁止新技術(shù)。在這篇文章中，我們將探討一些業(yè)務(wù)經(jīng)理和其它利益相關(guān)者可以購買的安全策略，這些安全策略最終可以讓業(yè)務(wù)流程變得更安全，更有保障。

　　最初的理念

　　正如我過去在專欄中指出的那樣，CISO需要不斷地理解一些關(guān)鍵理念。如果安全團(tuán)隊(duì)將這些理念付諸實(shí)際，而客戶又理解這些理念，那么就很容易讓企業(yè)中每個(gè)人都相信安全的重要作用并且支持安全團(tuán)隊(duì)，而不是去規(guī)避安全團(tuán)隊(duì)。

　　對違例有所設(shè)想。開發(fā)新技術(shù)和流程時(shí)，工作人員應(yīng)該認(rèn)識到，沒有什么是萬無一失的，違例總會(huì)發(fā)生。因此，當(dāng)組織推行一些支持BYOD這樣的新技術(shù)的策略時(shí)，制定降低風(fēng)險(xiǎn)的控制措施是很重要的，如數(shù)據(jù)孤島（也被稱為飛地）。花時(shí)間幫助企業(yè)領(lǐng)導(dǎo)者和其它利益相關(guān)者了解違例的風(fēng)險(xiǎn)總是存在的，而一些額外的安全層，如新的編碼評論或添加保護(hù)，可能適用于這一新技術(shù)理論，降低風(fēng)險(xiǎn)。

　　了解業(yè)務(wù)。CISO和安全人員需要了解業(yè)務(wù)。這樣可以讓安全團(tuán)隊(duì)成為解決方案的一部分，確保技術(shù)的安全使用，如云計(jì)算或BYOD。而且還可以促進(jìn)安全團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)的合作，往往可以引發(fā)關(guān)于如何讓新興系統(tǒng)更安全的更好想法。向業(yè)務(wù)經(jīng)理解釋為什么必須實(shí)施某一特定安全措施時(shí)，安全團(tuán)隊(duì)可以提供深刻又基于事實(shí)的理論，再也不會(huì)只說“因?yàn)槲艺J(rèn)為如此” 這樣沒有說服力的理由了。

　　盡早并經(jīng)常考慮業(yè)務(wù)安全問題。一旦企業(yè)考慮實(shí)施或推出新技術(shù)，安全團(tuán)隊(duì)需要成為討論組的一部分，項(xiàng)目一開始安全團(tuán)隊(duì)就需要在腦中構(gòu)思業(yè)務(wù)安全策略。如果CISO和他的團(tuán)隊(duì)沒有參與到項(xiàng)目形成理念、架構(gòu)和實(shí)施過程中，業(yè)務(wù)安全方面很有可能會(huì)失敗，更糟糕的是，當(dāng)業(yè)務(wù)后期遇到安全問題時(shí)，通常會(huì)導(dǎo)致需要昂貴資金解決的危機(jī)。因此，安全團(tuán)隊(duì)必須一開始就參與到項(xiàng)目討論中，協(xié)助業(yè)務(wù)團(tuán)隊(duì)讓項(xiàng)目順利進(jìn)行，并將安全風(fēng)險(xiǎn)控制在管理人員可承受能力范圍內(nèi)。企業(yè)領(lǐng)導(dǎo)者需要將安全團(tuán)隊(duì)視為新項(xiàng)目解決方案的一部分。

　　如何進(jìn)行

　　想要在這些情況下孕育成功，在討論時(shí)帶來解決方案是最關(guān)鍵的。不要專注于企業(yè)的利益相關(guān)者提出的安全相關(guān)問題，一開始應(yīng)該是制定促進(jìn)安全使用的政策。例如，一個(gè)組織如果要推行BYOD策略，那么它可能需要某些業(yè)務(wù)規(guī)則，如設(shè)備丟失或被盜時(shí)馬上聯(lián)系IT人員。安全策略不僅僅可以幫助組織在保護(hù)企業(yè)數(shù)據(jù)安全時(shí)采取必要的步驟，而且可以幫助員工極可能少地遭遇業(yè)務(wù)中斷情況。

　　為了了解什么技術(shù)在不斷涌現(xiàn)，以及如何運(yùn)用這些新技術(shù)，就要關(guān)注市場上在發(fā)生什么：每天關(guān)注你所在行業(yè)或平行行業(yè)的貿(mào)易報(bào)道、商業(yè)新聞，并積極和公司領(lǐng)導(dǎo)交談。CSA（云安全聯(lián)盟）是一個(gè)集合安全想法資源的很棒平臺(tái)，企業(yè)領(lǐng)導(dǎo)者也認(rèn)為CSA很有價(jià)值。CSA有各種各樣的出版物，里面包括那些專門針對云安全和BYOD的文章。在架構(gòu)和部署新項(xiàng)目的會(huì)議上，作為CISO，應(yīng)該要考慮將這些標(biāo)準(zhǔn)和文檔帶到會(huì)議桌上，讓大家都可以了解并討論。

　　在會(huì)議桌上以良好的安全策略形式展現(xiàn)解決方案，業(yè)務(wù)團(tuán)隊(duì)會(huì)將你定位成一個(gè)貢獻(xiàn)者，而不是阻饒者。引用外部資源，表明你一直在關(guān)注新技術(shù)的變化，這可以提高你的信譽(yù)。

　　全球范圍內(nèi)還有需要通過審核的優(yōu)秀安全策略指南和技術(shù)指導(dǎo)，包括來自NIST（美國國家標(biāo)準(zhǔn)技術(shù)研究所）和ENISA（歐洲網(wǎng)絡(luò)與信息安全局）的各種出版物。

　　這些指南不僅僅對于教育安全團(tuán)隊(duì)關(guān)于國家和國際標(biāo)準(zhǔn)很有效，而且可以幫助教育企業(yè)領(lǐng)導(dǎo)者和技術(shù)實(shí)施人員，在沒有CISO的情況下，他們通常被視為FUD（恐懼，不確定和懷疑）的傳播者。帶來并實(shí)施可行的想法可以讓新技術(shù)系統(tǒng)更安全，其結(jié)果是，支持新技術(shù)的安全策略和程序會(huì)給新技術(shù)一些“外部的支持”，這樣就可以為這個(gè)新技術(shù)提供一個(gè)更好更可信的基礎(chǔ)。

　　結(jié)論

　　一個(gè)CISO不能對企業(yè)領(lǐng)導(dǎo)者和終端用戶所提出的想法簡單的說“不！”。相反，CISO應(yīng)該依靠他們的安全團(tuán)隊(duì)和業(yè)務(wù)部門協(xié)同合作，幫助他們開發(fā)、部署和維護(hù)一種安全技術(shù)來降低業(yè)務(wù)的風(fēng)險(xiǎn)。而且，管理人員和員工都要接受教育，知道如何面對安全威脅，為什么安全方面對于公司和個(gè)人成功推出一個(gè)新項(xiàng)目是至關(guān)重要的。