安全团队=业务妨碍部? 干脆解散了吧

作者:星期四, 八月 31, 20170
分享:

解散公司安全团队可能并不完全是愚蠢的想法,因为公司里很多其他人的职责已经与他们有所重叠,或者可以有效地完成他们的工作。

以上,是分析咨询公司Gartner副总裁汤姆·舒尔茨提出的一个想法,他借此故意挑衅的姿态,想让人们开始思考怎样更好地保护自己的公司。

汤姆·舒尔茨

舒尔茨的假说是,当公司感知到更多风险的时候,他们会设立专门的团队来处理这个问题。这一团队会随着风险规模的增长而壮大。随着公司在线活动的快速扩张,这意味着更多的风险和中心团队中更多的人员。安全工作或许依然可以推进,但大团队往往代表着效率的低下。

很多公司都把集中式的安全视为阻碍。8月22日,在悉尼举行的Gartner安全与风险管理峰会上,舒尔茨表示,他曾遇到过一位首席安全官,这位高管说自己的团队被称为“业务妨碍部”。

于是,舒尔茨开始思考安全团队怎么才能变得不那么碍手碍脚,然后想到了将安全职责分派给其他团队的主意。这个想法可以起效的一个领域,是终端安全。这是很多企业安排专门的技术团队看顾桌面和服务器系统的一个领域。而数据安全,则是另一个已成熟的潜在权力下放领域。安全团队往往有责任确定数据的价值和使用方式,使用该数据的团队也有此责任。然而,这两方面的团队都各自为战,在重复对方的工作。于是,把工作交给其中一个团队可有效减少人工浪费。

安全团队的天生倾向,意味着他们往往不是公司内的最佳教育者;但其他团队专司业务,也就成了解释怎样控制风险的极佳候选人。

舒尔茨认为,公司企业依然需要中心安全团队,但只要执行良好,权力下放将不会影响到公司安全态势。实际上,舒尔茨已经遇到过实现这一想法的CIO了——通过寻找其他部门来承担他们认为不属于中心技术办公室的任务。

迈出这一步,还需要将人员看做是愿意学习并承担新责任的一种公司文化。考虑该权力转移动作的公司企业,还需要有力的跨团队协作架构,以及理解如何将安全需求集成到整体安全解决方案设计里的能力。

即便最终认为该权力下放太过危险的公司企业,也可以从该理论中获益,可以用它确保业务部门或团队领导感受到保护自身工具安全的责任。下放安全还能帮助公司发现哪些安全职能已经商品化,因而可以外包出去。

 

分享:

相关文章

写一条评论

 

 

0条评论