CSO进阶之路:从安全工程师到首席安全官
上QQ阅读APP看书,第一时间看更新

3.3 找到你的首席安全官人设

要成为CSO,首先要搞清楚它的“人设”,其中一个核心的问题就是:在组织及企业中CSO应该向谁报告?本节我们从当今网络安全面临的最基本和最简单的问题之一开始,即CSO的报告结构。不要小看职位的报告结构,报告结构会对组织的安全运营效率产生巨大的影响。

传统的以IT为中心的网络安全视图与那些正在逐渐将网络安全视为风险管理功能的视图之间存在着很大的差异。

我们经常认为报告关系和组织结构是固定的。你被雇用做某事,向具有特定结构的部门、业务部门或职能部门中的特定人员汇报工作,并且学会在这个体系内工作。但是,随着网络安全风险已成为备受关注的业务事件,CSO的角色也必须发展。有了更高的知名度,你有时会有更大的自由度来适应不断变化的威胁,但是你几乎总是被寄予更高的期望,即从企业高级管理人员CXO这个级别的角度来看,作为CSO,在任何给定问题上采取的方法都将是适当的,而不仅仅是从技术上讲是正确的。

这意味着什么?这意味着组织正在向CSO提出更多要求。除了已经掌握的技术标准和法规要求之外,还应该了解组织所参与的产品、业务、客户和市场,并以最适合组织的方式行事,将组织的需求放在职业或任何其他个人成果之前,这就是所谓的“业务责任”。如果你目前发现这个问题,认为需要更改现在的网络安全部门的结构以满足组织的这些需求,那么请执行此操作。如果应将你安置在组织的不同部门中,以最好地满足其网络安全需求,则由你来确定并提出建议。

以此为背景,让我们看一下这个问题所含的三个部分:CSO应该向谁报告?应如何组织网络安全工作?CSO期望企业内部安全水平随着时间的推移会发生怎样的变化?我们将以CXO级别高管的视角来审视每个问题,从而确定CSO应如何适应组织的条件。通过这样的训练,无论你是CSO还是其他级别人员,都可以并且有望像CXO级别高管一样做出思考。

3.3.1 三个标准

我们要应用的三个标准是组织成熟度、业务领域和技能一致性(如图3-1所示)。

000

图3-1 三个标准

所谓组织成熟度,即组织在应对威胁其业务连续性的各种风险方面有怎样的经验?它是否建立了弹性危机应对机制来解决灾难和破坏,是否制定恢复正常运营的业务连续性计划并将这些计划传达给员工、主要合作伙伴和客户?这些计划是否经常被演练和优化,以便整个组织(包括客户和合作伙伴生态系统内的人员)知道中断或灾难来袭时应该怎样应对?

就业务领域而言,即组织外部环境的本质是什么?组织是否在严格监管的环境中开展业务?它所经营的市场领域是否受到众多安全或互联网威胁?它是在高科技领域吗?

最后,在这种情况下,通过技能调整,特别是通过网络安全部门内的技能集,如何与组织其余业务相结合?哪些业务部门或职能部门负责业务连续性?风险管理的责任在哪里?信息技术是集中管理、区域管理还是业务部门内部管理?在这种环境下,CSO需要具备的技术技能和业务敏锐度之间的适当平衡是什么?

3.3.2 组织成熟度

让我们从组织成熟度开始。我们所谈论的首席安全官,应该是指企业网络安全的负责人,但对于不同成熟度的组织,其负责方式不尽相同。

对于许多组织而言,招募CSO这一岗位的目的是为了转移责任,为的是一旦出现网络安全事故,有人可以承担责任。在这样的组织中,CSO必须是“首席应变官”。对于那些在建立和执行连续性计划时没有足够持续力的组织而言,尤其如此。如果组织在这方面没有太多经验,则应充分考虑将CSO的报告对象设置为首席执行官(CEO)。在这种环境下,组织更容易遭受破坏性的网络攻击,如果没有专业的CSO帮助,组织不可能做好准备。

作为CSO,要成为非正式的“首席回收官”,你的工作是帮助组织确定必须收回的关键信息资产,协调各部门关系以完成这一目标。但是在这个过程中,你不一定会得到所有人的支持。你将推动制定行动计划,该计划将在网络攻击严重的情况下执行,以及时补救和避免造成组织的重大损失。为了成功做到这一点,你需要建立一个执行团队,并得到执行团队所有人全面、积极的支持。在这个过程中,那些光是点点头和动动嘴的人是不行的。为了完成这些目标,你需要自己回答“我可能在哪种报告级别获得支持?”并坚决执行这一决策。

为了抑制网络安全事件的发生,事前在组织中做准备的工作量是巨大的,涉及整个组织的人员和资产的配合。因此,将CSO作为财务(报告给首席财务官)或信息技术部门(报告给首席信息官)的子功能,其有效性可能会降低。这些领导者所管理的部门通常本身就存在风险,若安全职能在其下属的话,其自身的安全风险可能会被遮蔽。在这种情况下,让CSO汇报给首席运营官(COO)也没有足够的责任感。

如果组织具有成熟的业务连续性流程,那么CSO必须与负责组织业务连续性的人紧密结合。在理想的情况下,CSO将与这些关键人物一起改善现有业务连续性计划,包括从网络攻击中恢复。至少,CSO将需要与这些人一起交流和改进这些过程。最好的情况是CSO可以成为组织高级管理人员中的一员,这样它就可以与负责保持公司正常运转的团队整合,同时减轻组织受灾难、攻击或破坏的影响。如果负责业务连续性计划的人的级别较低,或与CSO不在同一部门,那么CSO应该需要帮助组织重新考虑定义该职位,并将其职能提升或纳入你的部门。

最后,如果组织更加成熟,并且拥有功能强大的独立业务部门,而这些业务部门往往不依赖于集中的后台办公功能,则应考虑使用更多的嵌入式资源来直接支持业务部门。尽管通过集中化基础架构保护相对轻松,但将应用程序安全业务合作伙伴直接嵌入业务的技术和产品团队中,实现网络安全功能和业务的整合,可能会提高他们适应不断变化的业务需求的能力。

3.3.3 业务领域

不同的业务领域决定了CSO面临的外部环境,也决定了CSO与组织外界对接、报告的程度。

我们可以把组织的业务对信息技术的依赖程度加以区分,业务对信息技术依赖越高,企业CSO也将面临越大的压力,报告结构也会越复杂。制造类企业与网络通信类企业对信息技术的依赖水平具有很大的差距,相对而言,在制造类企业内,CSO更接近于“首席应变官”,因为组织对信息技术设施的总体投入水平决定了CSO职能内有限的可调配资源,可能仅仅能够确保网络安全事件的及时响应和有效处理。

而在网络通信业内,信息技术就是其业务,CSO更接近于“首席保健官”。在信息技术集成度较高的企业中,网络安全防御机制已经极其复杂,梳理并确保所有关键信息资产得到有效的管理,联动不同防御机制的协作,以及对潜在未知风险的防御,就成为CSO的重要职能。

此外,不同行业面临的外部监管要求可能存在不同。如在金融行业,银行和保险公司受银保监会监管、证券公司受证监会监管、大型国企受国资委监管、通信与互联网公司受通管局监管等,行业监管机构对企业的监管水平也决定了CSO的报告结构,不少行业监管部门会定期对企业开展网络安全的专项检查,这都需要CSO进行协调与应对。

对依存互联网的高科技企业来说,业务与互联网的融合使企业内部网络存在暴露于外部世界的可能,这意味着在业务开展过程中,通过互联网外部攻击能够渗透核心网络,因此,相对于传统结构的企业,它们会面临更多不可预知的风险,这些风险可能来自国内,也能来自国外,在这种态势下CSO需要思考的报告结构和机制一定要覆盖风险可能会感染的子单元。

3.3.4 技能一致性

CSO必须结合组织的成熟和业务领域,厘清职能边界,配置网络安全资源,使所掌控的技能满足业务部门业务发展所需的安全保障。CSO要成为企业中真正了解组织运行机制的人员之一,这样才能够正确匹配自身技能,并承担组织责任。

我们通过两个案例来看一下CSO报告结构与上述三者的关系。

某大型道路施工集团在设置CSO报告结构时,要求其向行政部门负责人报告。行政部门负责人并不负责IT基础设施的建设和管理,那么CSO的职能应该如何考虑?

通过对集团业务的了解发现,道路施工集团业务主要是在全国各地建设桥梁、高速公路等,施工项目往往在深山老林,地处偏远,无法连通网络,道路施工集团信息化水平不高,项目方案、施工图纸等重要资料主要通过网络和纸质打印进行传递。设置CSO是为了使一些重要机密在网络上的流转得到控制,行政部门原来下设“保密办公室”来负责管理纸质文档,但其不具备电子文档的管理能力,因此组织新设置了CSO岗位,他也向行政部门负责人进行汇报。

在这个例子中我们可以看到,组织对CSO职能的设定与其业务运行机制有着深刻的关系,如果不深入了解业务的脉络,我们是无法了解企业管理者的意图的,在了解管理者的意图后,就能够首先确定CSO所需要的技能,并且提出合理的资源要求。

该组织的CSO报告结构设定是基于其组织成熟度的临时设定,假设随着5G、物联网等技术的发展,集团的各施工项目组在偏远地区也能够连接网络,业务流程被改造,组织成熟度上升,此时CSO的报告结构可能就需要进行调整了。

另一个例子是某电信集团,其在设立CSO时,安排CSO向安保部负责人进行汇报。安保部负责集团的保安、保洁、生产安全、人身安全等工作。这样的设置又是如何考虑的?

当时集团的很多人对此表示不解,甚至安保部的负责人对此也不理解,因为安保部负责人对信息网络技术一窍不通,但是集团总经理这样决策,安保部负责人也只好坚决执行。通过内部竞聘,安保部快速设立了由CSO带队的网络安全小组的二级部门,随着业务的逐渐开展,CSO工作成果业绩斐然。为何这样的报告结构能让CSO如鱼得水?

原来该电信集团之前发生了用户个人信息泄露的事件,集团总经理为了加强此类事件的防范,故设置了CSO职能,要求CSO向安保部汇报的原因是安保部是集团唯一与公安机关有联系的部门。CSO在入驻安保部之后,迅速查处了几起内部案件,并将内鬼交送给公安机关,通过几次案件的整肃,集团网络安全事件的发生率显著下降,网络安全的保障水平也得到有效提高。

从上述两个例子中,我们可以发现组织的CSO职能设置并不是千篇一律的,在不同的业务场景中存在着不同诉求的思考,这种思考有时候是有效的,有时候又会存在一些问题,CSO作为企业首席安全官,要学会把握自己在组织中的人设,并基于这种人设不断调整自己的知识、技能、资源储备。