網(wǎng)絡(luò)安全領(lǐng)導(dǎo)權(quán)之爭(zhēng)需要立即停止！缺乏明確負(fù)責(zé)人和全業(yè)務(wù)支持，企業(yè)注定失敗。別再爭(zhēng)論，賦予安全領(lǐng)導(dǎo)者應(yīng)有的權(quán)力和責(zé)任，否則將面臨巨大風(fēng)險(xiǎn)。

你是否曾聽(tīng)到過(guò)有人在公司里認(rèn)真地問(wèn)：“誰(shuí)負(fù)責(zé)法律事務(wù)？”或“誰(shuí)制定財(cái)務(wù)戰(zhàn)略？”可能沒(méi)有——因?yàn)榇鸢笐?yīng)該是顯而易見(jiàn)的。然而，當(dāng)涉及到網(wǎng)絡(luò)安全時(shí)，領(lǐng)導(dǎo)權(quán)的問(wèn)題似乎仍然引發(fā)無(wú)休止的爭(zhēng)論。

這種情況在20世紀(jì)90年代或許還能理解，當(dāng)時(shí)像首席信息安全官（CISO）這樣的關(guān)鍵安全角色仍在摸索階段。但時(shí)至今日，這無(wú)疑是一個(gè)嚴(yán)重的警示信號(hào)。

安全早已不再是小眾的技術(shù)問(wèn)題，而是一項(xiàng)基本的業(yè)務(wù)職能。因此，看到一些組織仍然將其視為新概念或事后補(bǔ)救措施，將其夾在IT和合規(guī)之間，沒(méi)有明確的領(lǐng)導(dǎo)或方向，這實(shí)在令人沮喪。

面對(duì)日益猖獗和組織化的威脅行為者，爭(zhēng)論的時(shí)間已經(jīng)結(jié)束。網(wǎng)絡(luò)安全需要一位擁有領(lǐng)導(dǎo)權(quán)力的明確定義的領(lǐng)導(dǎo)者。否則，注定會(huì)失敗。

誰(shuí)應(yīng)負(fù)責(zé)網(wǎng)絡(luò)安全？

將十幾位不同的業(yè)務(wù)領(lǐng)導(dǎo)者聚集在一個(gè)房間里，詢(xún)問(wèn)誰(shuí)負(fù)責(zé)他們的安全，你可能會(huì)得到同樣多的答案。CISO似乎是最明顯的選擇，但CIO、IT主管或其他類(lèi)似角色也可能是答案。

實(shí)際的頭銜并不重要。重要的是他們是公司中最有資格的人。在大多數(shù)情況下，這個(gè)人應(yīng)該是CISO，但許多公司——尤其是小型組織——并沒(méi)有這個(gè)職位。

在這種情況下，安全的責(zé)任必須向上級(jí)轉(zhuǎn)移。必須明確由某個(gè)人——COO、CFO甚至CEO負(fù)責(zé)?！拔覀儧](méi)有專(zhuān)門(mén)的安全領(lǐng)導(dǎo)者”這樣的借口是站不住腳的。許多公司完全可以在沒(méi)有CFO的情況下制定財(cái)務(wù)戰(zhàn)略，因此他們毫無(wú)疑問(wèn)可以在沒(méi)有CISO的情況下制定安全戰(zhàn)略。

但真正的問(wèn)題不僅是找到合適的人，而是確保他們擁有權(quán)威、資源和全業(yè)務(wù)范圍的支持，以有效執(zhí)行任務(wù)。即使是最精明的CISO，如果沒(méi)有支持，也只是一個(gè)傀儡，而由委員會(huì)負(fù)責(zé)的安全策略注定是一場(chǎng)災(zāi)難。

除非網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者被賦予與法律或財(cái)務(wù)戰(zhàn)略同等的權(quán)威和責(zé)任，否則他們將繼續(xù)讓自己暴露在風(fēng)險(xiǎn)之中。內(nèi)部的不確定性是網(wǎng)絡(luò)犯罪分子夢(mèng)寐以求的脆弱目標(biāo)。

為什么安全不能孤立運(yùn)作？

多年來(lái)，我們一直在爭(zhēng)論網(wǎng)絡(luò)安全是一個(gè)業(yè)務(wù)問(wèn)題，而不是IT問(wèn)題。然而，安全仍然經(jīng)常被當(dāng)作一個(gè)孤立的功能，被放任在真空中運(yùn)作。這是一個(gè)嚴(yán)重的錯(cuò)誤。如果安全領(lǐng)導(dǎo)者沒(méi)有在決策桌上占有一席之地，他們就無(wú)法真正影響更廣泛的業(yè)務(wù)戰(zhàn)略。

保障公司安全是一項(xiàng)團(tuán)隊(duì)努力。正如CFO不會(huì)單獨(dú)“負(fù)責(zé)”財(cái)務(wù)成功一樣，CISO（或任何負(fù)責(zé)安全的人）也不應(yīng)該獨(dú)自戰(zhàn)斗。

盡管應(yīng)該有一個(gè)明確定義的安全領(lǐng)導(dǎo)者，但高管層必須共同承擔(dān)責(zé)任，確保安全嵌入到組織的每一個(gè)方面。

安全策略必須是自上而下的，而不是自下而上的。如果領(lǐng)導(dǎo)層不推動(dòng)它，再多的技術(shù)控制也無(wú)法拯救企業(yè)。安全政策——無(wú)論是強(qiáng)制執(zhí)行多因素認(rèn)證（MFA）還是設(shè)置數(shù)據(jù)治理規(guī)則——不應(yīng)該被視為IT指令。它們是業(yè)務(wù)決策，必須被如此對(duì)待。

治理是強(qiáng)大安全戰(zhàn)略的支柱

將網(wǎng)絡(luò)安全作為團(tuán)隊(duì)努力的一部分，很大程度上有賴(lài)于適當(dāng)?shù)闹卫碇С?。然而，網(wǎng)絡(luò)安全往往被視為一種模糊的愿望，而不是一種結(jié)構(gòu)化、可問(wèn)責(zé)的功能。沒(méi)有治理的策略不過(guò)是一張?jiān)竿鍐巍?

沒(méi)有明確的治理，安全工作很容易變得被動(dòng)、脫節(jié)，并容易被董事會(huì)上聲音最大的人否決。

治理確保網(wǎng)絡(luò)安全是一項(xiàng)可執(zhí)行的業(yè)務(wù)優(yōu)先事項(xiàng)，而不是一項(xiàng)勾選框的練習(xí)。這意味著制定明確的政策，定義風(fēng)險(xiǎn)容忍度，最重要的是，確保安全決策基于實(shí)際的業(yè)務(wù)需求，而不是內(nèi)部政治。

此外，治理不僅僅是自上而下的指令。它是一條雙向通道：董事會(huì)設(shè)定方向，但來(lái)自安全團(tuán)隊(duì)和運(yùn)營(yíng)人員的反饋會(huì)對(duì)其進(jìn)行優(yōu)化。僅存在于紙面上而沒(méi)有業(yè)務(wù)現(xiàn)實(shí)輸入的治理框架，與完全沒(méi)有治理一樣危險(xiǎn)。

要使網(wǎng)絡(luò)安全與更廣泛的業(yè)務(wù)目標(biāo)保持一致，主要利益相關(guān)者需要保持定期溝通。具體頻率取決于公司的規(guī)模和結(jié)構(gòu)，因此每個(gè)企業(yè)都需要找到一個(gè)平衡點(diǎn)。重大投資和變更應(yīng)通過(guò)變更咨詢(xún)委員會(huì)（CAB）流程，以確保一切都被考慮到。

外包：解決方案還是捷徑？

值得注意的是，對(duì)于許多企業(yè)來(lái)說(shuō)，安全并不是內(nèi)部處理的，而是一項(xiàng)外包功能。這通常是資源有限的小公司的選擇，缺乏資源來(lái)招聘和留住專(zhuān)門(mén)的網(wǎng)絡(luò)安全負(fù)責(zé)人，但大公司也可能如此。

在我的職業(yè)生涯中，我曾經(jīng)歷過(guò)雙方的角色，既擔(dān)任過(guò)顧問(wèn)，也管理過(guò)外部供應(yīng)商。

一個(gè)重要的教訓(xùn)是，如果企業(yè)只是簡(jiǎn)單地將任務(wù)拋給一群顧問(wèn)，并說(shuō)：“為我們制定一個(gè)網(wǎng)絡(luò)安全策略”，這是行不通的。沒(méi)有適當(dāng)?shù)妮斎牒头较?，結(jié)果可能并不適合你的公司。

多年前，我曾在一家公司工作，我們將業(yè)務(wù)連續(xù)性規(guī)劃外包給一家大型供應(yīng)商。他們制定了一份詳盡、精美的200頁(yè)計(jì)劃……但這完全不適合我們的業(yè)務(wù)。我們重寫(xiě)了它，最終將其精簡(jiǎn)為15頁(yè)，緊密貼合我們的需求。

另一方面，作為顧問(wèn)，我曾幫助創(chuàng)建了一些優(yōu)秀的框架，公司負(fù)責(zé)大部分工作——我只是提供一個(gè)框架，并提出正確的問(wèn)題，引導(dǎo)他們以正確的方式思考。

我還強(qiáng)烈建議，如果你不愿意保持參與，那就不要外包。安全不是一次性交付的持續(xù)監(jiān)督和問(wèn)責(zé)無(wú)法完全外包。

少談多做

沒(méi)有企業(yè)會(huì)期望在沒(méi)有明確的法律或財(cái)務(wù)領(lǐng)導(dǎo)的情況下取得成功，那么為什么安全要有所不同呢？關(guān)于網(wǎng)絡(luò)安全領(lǐng)導(dǎo)權(quán)的無(wú)休止?fàn)幷撔枰Ｖ埂?

確定負(fù)責(zé)人，賦予他們領(lǐng)導(dǎo)的權(quán)力，并確保他們擁有全業(yè)務(wù)的支持，以做好保障組織安全所需的事情。

停止?fàn)幷?，開(kāi)始決策，賦予網(wǎng)絡(luò)安全應(yīng)有的領(lǐng)導(dǎo)地位。