前美国总统哈里·杜鲁门曾说过：“如果你不去计较个人得失，那么你的工作就会成绩斐然。” 这种熟悉的格言在网络领导者的对话中经常出现，确保成功的网络安全计划。网络安全领导者意识到，在整个企业中采用了网络安全策略所需的人才、资源和文化，但通常没有提及的是信息安全团队对IT团队的依赖。

信息安全研究和咨询机构IANS Research进行的一项研究发现，在超过 500 名首席信息安全官（CISO）中，46% 的人向首席信息官（CIO）汇报，15% 的人向首席技术官（CTO）汇报。虽然这种汇报安排有一些优势，但它们通常会导致权力失衡，因为 IT 和安全资源的分配由一个人控制。这可能会造成利益冲突，由于技术方面的举措（例如减少资源和优先考虑云迁移等目标）可能会减少实施技术堆栈中的安全举措所需的人力资本。当前和未来的网络领导者应该寻求与他们的 IT 同行合作，以提升他们的网络安全策略。

消除差距

网络安全的基础之一是对机密性、完整性和可用性的优先考虑。技术团队（假设技术和安全之间存在合理的分工）通常关注技术堆栈的可用性。例如，如果提出的某项控制措施会影响关键业务应用的可用性（如多因素认证或基于角色的访问控制），这会使技术团队陷入冲突，因为这可能增加维护可用性的工作量。许多组织明确区分了安全态势与技术可用性的责任，但领导者在推进自己议程的自主权和权力上往往存在不平衡。CISO经常感受到压力，源于“缺乏在公司范围内实施最佳实践的权力，以及在一些让他们夜不能寐的问题上缺乏高层的关注”。如果资源（或资源不足）和可见性是CISO和网络安全领导者的风险因素，CISO应该向整个组织的同事传达这一风险并寻求他们的支持。

领导者通过在组织内形成战略合作伙伴关系和问责制来实现成功之路。这意味着与 IT领导者一起工作，识别围绕企业网络运营的资源和责任。网络安全领导者可以利用其网络堆栈清单，并与技术领导者及其各自的团队确定共享责任。通过明确定义目标和讨论责任（例如维护端点加密或移动设备管理平台）来创造透明度，可以降低风险并帮助消除安全操作中的障碍。当安全操作的汇报结构在IT部门内时，网络安全领导者可以通过定义责任和具体说明技术同行所需的资源来降低组织的风险，并确保适当的资源分配到关键目标上。

直线沟通

无论信息安全的组织结构如何，关键结果必须交付。随着网络安全风险进入高管议程并越来越受到董事会的关注，安全领导者比以往任何时候都更受关注。安全领导者通常难以让关键利益相关者看到已识别的威胁，但可见性对于分配正确的资源和实现解决方案是必要的。仅仅通过一些对话，安全领导者就可以取得显著进展，这些对话可能会带来丰厚的回报。组织应该实施，并且安全领导者应该倡导，举行闭门会议，直接与董事会或关键利益相关者讨论威胁和操作问题。表面上看，这似乎只会增加压力，但它可以帮助引起必要的关注和支持，以应对以前因利益冲突而没有与主管讨论的威胁。这一策略可以在考虑分配资源以减少安全风险或追求 IT 优先事项时，作为解决争议的决策依据。

另一个实现组织转型的机会是预留时间进行办公室时间，与组织内的任何领导者或利益相关者讨论关心的话题。领导者可以创建一个定期预订的会议，欢迎人们一对一地讨论主题。这为那些可能没有机会表达他们的担忧或获得他们认为应得的关注的人创造了机会。

结论

最终，信息安全是一项超越了那些拥有安全相关头衔的人的责任的团队运动。随着网络安全形势的演变和思想转变（例如零信任和BYOD政策的兴起），IT和安全团队之间的战略伙伴关系和合作变得越来越重要。安全领导者应该寻求与技术同行结成联盟，并利用高管的垂直支持，为双方分配资源。如果实现透明度并讨论技术团队在安全工作中的角色，因责任归属不当而导致的操作缺陷就可以消除。

编者注：本文出自ISACA Journal 2024年第2期。尾注略。文章内容仅代表作者本人观点。

作者：SETH EARBY是一名医疗行业治理、风险和合规的首席项目经理，同时也是专注于构建成功的网络安全和技术项目的网络安全和技术顾问。 

翻译：吴梦庭（TIFFANY WU），ISACA微信公众号特邀通讯员。

校对：唐雅琪（ANDREA TANG），FIP， CIPP/E， CIPM，ISO 27001 LA，ISACA微信公众号特邀通讯员小组组长。