企业安全失败的五大迹象

作者：@1iJax（又名安全维京人）

当你以为安全警钟已被敲响得足够久、足够响时，快速调查各类组织仍会发现许多公司“根本不明白”。本文并非详尽清单，但若您是高管或管理层成员，正苦于推动安全计划，或不确定现有计划是否有效，请继续阅读。如果您是安全专业人员，感觉组织存在问题且每前进一步却倒退更多，那么您的组织很可能正在系统性失败。

1. 管理层不清楚安全的本质

这是最严重的问题，几乎其他所有“迹象”都是其症状。安全的目的是什么？若您第一反应是“保护公司”，这可以理解但却是错误的——保护公司本是高管的职责，而非安全团队。

安全的职责简化为两点：

未能认识到这一点的公司通常失败惨重，表现为缺乏战略，应对漏洞时混乱不堪。例如，某市值数十亿美元的公司高管在被问及是否考虑任命CISO（首席信息安全官）时，竟反问“CISO是什么？”。

专家们长期争论“信息安全应向谁汇报？”随着技术依赖加深，常见做法是将安全团队置于CIO（首席信息官）之下。

问题在于：IT的存在是为满足业务的技术需求，而安全从业者的职责是建议和监督——常需说“不”。但CIO很难说“不”，否则职位难保。将安全置于CIO之下可能过滤掉安全的核心建议和监督职能。

解决方案：安全必须直接向执行领导团队（ELT）成员汇报。无论向哪位“C”级高管汇报，只要其有决策权并重视安全即可。否则，管理层的每一级都会曲解安全含义。

政策是所有员工必须遵守的规则。若高管不签署政策，任何与顶级信息安全经理同级或更高级的管理者都可以按自己的理解解释政策。例如，某公司的CIO坚持在法务之前审查安全政策，导致安全建议被阻挠和稀释。

高管必须拥有指导安全计划方向的指令。只有ELT拥有并愿意捍卫这些艰难决策时，安全才能有效推进。

安全资源日益紧张，许多仅有几年经验的人担任高级职位。IT背景的管理者带入“IT心态”，常过滤或隐瞒公司准备度评估结果，以避免在高管面前显得糟糕。

例如，安全经理可能说：“红色太多，管理层不会重视”或“我不能提交这个，它让我们看起来很糟”。这严重违反了安全的宗旨。作为管理者，应向上层提供未来愿景，而不是在发现中政治化报告。

人员频繁进出？团队中大多数分析师和工程师司龄不足五年？计划似乎走上正轨几年，然后一夜之间所有人消失？如果答案是肯定的，您就有问题。

在某些地区，信息安全领域失业率低至-16%，员工很快会意识到不必等待公司“弄清楚”。

如何修复？

强烈警告：不要陷入工具陷阱！购买产品不能替代人力，反而可能因管理工具的专业性增加需求。工具就像锤子，不会自己摆动！

如果您是C级高管，球在您场上：拥有您的政策，让安全直接向您汇报，相应配置人员，您将遥遥领先。对于安全人员，即使组织符合所有迹象，也不要立即放弃。视其为挑战，尽力奋战；若无改进迹象，微笑离开（或按Shon的建议直接逃跑）。您幸存下来，学到知识，可以带着所有失败经验去帮助真正需要您的组织。

最后，留给我最喜欢的一句谚语（尤其给Equifax的信息安全兄弟姐妹）：“平静的大海造就不不出熟练的水手！”祝您好运。