当蒂姆·卡拉汉苏醒过来的时候基本四年前,为了担任CISO的角色,这家保险巨头的企业安全深深嵌入到基础设施团队中。
他对CIO的第一个请求之一是:让我将安全性提取到它自己的组中。卡拉汉欣然承认,这种文化转变并不容易,但他相信,这种划分实际上带来了更好的合作。
他表示:“网络和安全是两个截然不同的角色,将它们作为一个单独的群体进行混合是危险的。”“在我们这个高度监管的行业,我们必须实行职责分离。”
在合格的安全专业人员的人才库不断萎缩的情况下,对安全领导来说,主张建立一个隔离的安全团队并不容易。分析公司环境、社会和治理调查发现,从2014年到2018年,在一项全球IT现状调查中,声称自己所在组织存在网络安全技能问题的受访者比例从23%增加了一倍多,达到51%。
但是,Callahan坚持认为,只要您清楚地传达每个团队的目标,以及团队成员所承担的角色和职责,并且愿意使用创新和自动化来补充人力资源,您就可以成功地重组为两个团队。
在Aflac,安全部门负责监控环境,向组织通报攻击和漏洞,并创建标准和协议。Callahan说:“我们通过一个强大的漏洞管理程序来确定风险,然后为网络团队制定补救的优先级。”“有明确的界线可以促进对彼此职业的尊重,并建立一个更健康的整体环境。”
Aflac安全团队使用职责分配矩阵,绘制参与者负责和/或负责的图表,需要与之协调,并且/或需要在项目生命周期的不同阶段得到通知。不过,Callahan认为,只有当安全被视为每一项IT工作的重要组成部分,而不是事后才会考虑时,这种方法才有效。
他表示:“我们在网络团队的开发周期早期就加入进来,以确保创建的代码是真正安全的。”“我们不是在生产前才发现问题,所以我们要决定是让它‘不安全’,还是被指责阻碍了进展。”
为什么要将安全性与网络区别开来
Chris Calvert,联合创始人响应的软件这是一款使用人工智能来模拟安全分析师反应的自动化工具。
“我建立的一些安全运营中心在其中加入了安全措施,而安全措施最终会被踢出局