不久之前,网络安全还被视为独立于企业其他部分的事物。但在过去的十年里,它终于得到了当之无愧、渴望已久的认可和关注。
越来越多的公司聘请首席信息安全官来帮助制定整体业务战略,使安全成为公司董事会的首要任务。
最后,首席信息安全官开始理解并概述安全作为业务推动者的作用,而不是作为“否”的部门。
事情在发展,见证这些变化令人兴奋,尽管似乎存在重要差距。
许多关于安全在业务中不断发展的地方的讨论都围绕着首席信息安全官的角色和不断扩大的职责:招募和培养高绩效团队,与其他部门的领导者建立关系,向上和跨部门进行沟通和管理,使业务实现其目标和目标等。
大多数这些对话中缺少的是安全从业者以及了解安全的业务方面对他们来说有多么重要。
有两个重要原因让首席信息安全官成为唯一考虑业务的人是行不通的:
1. 如果不了解业务,安全从业者就很难做好保护业务的工作;
2. 如果不了解网络安全的业务方面,技术安全专业人员就很难有效地建设行业的未来。让我们仔细看看这些因素中的每一个。
你无法保护你不了解的东西
每个组织的环境都不同。员工使用不同的工具和应用程序,人们协作的方式不同,公司收集的数据类型不同,最重要的是,需要保护的宝石也不同。这些差异中的许多是公司所从事业务的直接结果。
与营销机构或生物技术实验室相比,冰箱制造商面临不同类型的风险和不同类型的数据访问方。
每天,安全专业人员都在做出影响其组织安全状况的决策;他们不能指望 首席信息安全官是唯一拥有关键业务知识的人。
了解公司如何产生收入、销售人员如何与彼此以及他们的潜在客户共享信息、财务团队在远程工作时如何访问信息以及供应商如何获得报酬对于正确保护组织环境至关重要。
从统计上看,一家公司更有可能因为某些部门如何设置其业务流程而遭受破坏,而不是因为苹果发现的最新零日漏洞。
你不能创新你不理解的东西
并非所有的安全从业者都应该成为企业家,但有些人不可避免地会成为企业家。未来的网络安全创始人通常会在该行业工作多年,然后才能找到值得解决的痛苦问题并下定决心去做。
这意味着,当他们创办一家初创公司时,安全企业家已经对该行业的技术方面有了深刻的了解。不幸的是,网络安全的业务方面并非如此。
保持好奇心、提出问题并与公司其他部门的人建立关系可以帮助未来的创始人和安全领导者实现以下目标:了解组织中采购流程的运作方式、参与人员以及决策制定方式。
了解当前的安全解决方案忽略了哪些业务领域,以及哪些问题尚未解决。
更广泛地了解经营一家公司需要什么,以及不同的职能部门如何为整体成功做出贡献。
全面了解不同类型的公司、不同的收入模式和组织结构,以及这些因素如何影响业务成果。
虽然了解一个人试图保护的组织的业务对于建立正确的防御措施至关重要,但了解网络安全的业务方面是什么样的有助于确保创始人不会对技术过于兴奋以至于他们忘记了公司需要有一个可持续的商业模式才能发展。
展望未来
曾经有一段时间,软件开发就像今天的安全一样,工程师不必考虑事物的业务方面。
产品经理会提出需求,而开发人员会在不提出任何问题的情况下将它们变成可工作的软件。
如今,产品开发被视为集体解决问题——开发人员、设计师和产品经理共同努力实现业务目标。
为此,产品人员需要了解技术基础知识,而工程师需要深入了解公司所处的业务。
安全从业者越早更主动地了解他们受雇保护的组织的业务方面以及整个行业,他们就能更好地完成工作,他们就越有可能进行创新来改变事情在行业中变得更好的方式。
虽然没有人会期望他们获得 MBA 学位,但每个安全从业者都会从对营销、销售、客户服务、财务、运营等领域的一些了解中受益。
毕竟,业务流程是许多漏洞的来源。
