组织安全失败的五大迹象

作者：@1iJax（安全维京人）

当您认为安全警钟已敲得足够响亮、足够持久时，快速调查各类组织仍会发现许多公司“根本不明白”。本文并非详尽清单，但若您是高管或管理者，正苦于推动安全计划，或完全不清楚现有计划是否有效，请继续阅读。如果您是安全专业人员，感觉组织存在问题，且每前进一步都会在计划中倒退一步或多步，那么组织很可能正在系统性失败。

1. 管理层对安全毫无清晰概念

这是至关重要的一点，几乎下面提到的所有“迹象”都是其症状。安全的目的何在？如果您的第一反应是“保护公司”，这可以理解，但却是错误的。实际上，保护公司是任何组织中高管的职责，而非安全团队普通成员的任务。

那么安全的职责是什么？简单来说有两件事：

• 向高层管理汇报组织面临的威胁
• 监督高层管理指定的应对这些威胁的计划

未能认识到这一点的公司通常失败得很惨。它们缺乏战略，应对漏洞时表现糟糕。高管在描述现有计划时显得一无所知。

案例：在一家规模翻倍的价值数十亿美元的公司，我问CEO和COO是否开始讨论任命CISO（首席信息安全官）。HR执行副总裁反问：“CISO是什么？”CEO随后回应：“我认为已经有人负责了，所以没有，下一个问题。”这明确显示高管“不明白”，且与安全隔离。不久后，信息安全负责人被降至CIO之下更低层级，团队开始瓦解。

2. 错误的汇报结构：向CIO汇报与否不是问题

专家们反复争论“信息安全应向谁汇报？”随着技术依赖加深，将这些团队置于CIO之下已成为常见做法。

问题在于：IT的存在是为了满足业务的技术需求和梦想，而安全从业者的职责是建议和监督，这常常需要说“不”。但“不”对CIO来说是个不可能的词——用多了他们就当不久CIO了。他们可以说“是的，但是…”，比如“是的，但我们需要更多资金”或“是的，但需要更多人手”。您能想象CIO说“不，我们不能开发那个应用来更好地吸引客户并赚钱”吗？我也不能。

被安全缠住的CIO可能迅速成为过滤器，扼杀我们的建议和监督目的。如果缺乏经验的CIO将安全置于另一层IT管理之下，情况会更糟。

那么应该向谁汇报？有人说CFO、COO、总法律顾问等。甚至有人提议IT应向CISO汇报。这听起来有趣，但您最终还是会遇到拥有两个偶尔竞争利益角色的人。

简化这个问题：首先理解汇报结构直接影响安全的核心目的。为了履行其职责，安全必须直接向执行领导团队（ELT）成员汇报。公司所在行业可能决定向ELT中的哪位成员汇报，但最终向哪位“C”级高管汇报并不重要，只要该高管“有席位”并认真对待安全。任何不足都只是装样子，导致管理层逐级解读安全含义的电话游戏。

3. 政策不由高管拥有

您可能认为这很明显，但不幸的是，情况并非总是如此。我曾在一家公司的CIO坚持在我们提议的政策送交法律部门前先由他们审查。当然，安全向该CIO汇报，因此我们的许多工作遭到各种阻挠和淡化。

当时的说法是：“我们需要保持这些政策紧密，以便对业务保持灵活和适应…等等。”基本上，他们喜欢控制安全政策，以便根据需要更改，从而能够对业务说“是！”而不增加工作量。记住，IT不能说“不”。

借鉴我们对安全简单目的的扩展知识（这可能是个主题），这个问题直接影响安全提供监督的能力。执行领导必须拥有指示安全计划运行方向的指令。

政策是所有员工必须遵守的规则。没有高管签署，任何与顶级信息安全经理同级或更高级别的经理都可以按自己认为合适的方式解读政策。

是的，安全明白可实现政策和抱负政策之间的区别。我们可能建议反对，可能问“但我们不应该渴望更安全吗？”如果我们简单地随风倒向，我们就不是好的顾问，但我们也明白，无法希望满足的政策对所有相关方都不可行。

这就是为什么我们需要ELT——您知道，那些负责保护公司的人——仔细权衡这些决策并商定前进方向。我们所做的一切、每个流程、每堵我们建立的墙都是政策的直接结果。只有当ELT拥有并感到能够捍卫这些艰难决策时，安全才能有效前进。

如果您还没意识到，大多数失败的信息安全计划迹象直接来自高层管理缺乏参与。在研究某个认证时，我有幸从一位编写了非常受欢迎学习指南的人那里得到一些培训。她 essentially said: “如果您的组织安全不直接向ELT汇报，且ELT或董事会不签署政策，您就不会成功。如果该组织不愿改变，您需要逃跑不要回头。”

（抱歉如果我曲解了引用，安息吧Shon Harris…去他的癌症！）

4. 安全不知道安全的目的是什么

这一点让我在打字时发笑，但可悲的是，这变得越来越真实。简而言之，安全资源持续被拉薄，而且有很多只有几年经验的人带着高级头衔四处奔波。在我那个时代（42岁的我是行业中的老顽固），我不得不工作八年才获得“高级”头衔。

不幸的是，这是现在的行业本质，该领域两位数的失业率导致来自规划不佳的信息安全大学项目和IT的新手爆炸式增长。IT人员的涌入（我主要指的是管理方面）带来了“IT心态”。（IT人员转行没有问题，我们欢迎您，请送更多开发人员过来。）过去高度合格的IT人员从知识渊博的安全人员那里慢慢学习 ropes，现在迅速变成了盲人引导盲人。

安全领域新晋的IT经理通常会过滤甚至完全隐瞒诚实评估公司准备水平的结果。这种不想在高层管理面前显得糟糕的自然反应严重违反了安全的目的。

我听过这样的话：“红色太多，管理层不会认真对待我们，”或“我不能给他们这个，这让我们看起来真的很糟。”更糟的是，“我需要你仔细看看是否能改变其中一些东西。”

亲爱的前IT经理现安全人员，我们需要谈谈。我们需要您停止妥协。您需要明白，政治化报告的地方不在发现中，而在您的管理回应中！

我明白，展示我们的缺点很难。没有人要求您戴锡箔帽尖叫天要塌下来，但当您逃避建议职责时，您就错过了向他们展示如何改进的机会，并在此过程中失去员工的尊重。

作为经理，您不同意您对高层管理的用处在于您提供未来愿景的能力吗？这是您闪耀和推销该愿景的时候！

5. 安全人员的旋转门

人们似乎来来去去？您团队中的大多数分析师和工程师在公司工作不到五年？您的计划似乎走上正轨几年，然后所有人一夜之间消失？如果您对任何这些问题回答“是”，那么您就有问题。

随着一些地区报告信息安全领域失业率低至-16%，您的员工将迅速了解到他们不必等您“弄清楚”。

那么如何修复？ 首先，您需要理解最初成为安全人员的那类员工。他们绝对会解读字里行间！这些是爬遍您所有系统、剖析每个细微差别寻找对组织威胁的人，您不认为他们在解读您的每一个举动和权衡您的话语吗？

他们知道何时被居高临下地谈话。他们知道管理层何时不认真对待安全。如果您不关心，他们为什么要关心？这些人 constantly under the gun。他们经常熬夜学习世界上最新最大的问题。他们生活、呼吸、进食自互联网的阴暗面，其中许多人确实将“保护公司”个人化，即使我们知道我们不应该。

对安全工作的欣赏有帮助，但直截了当的谈话更进一步。诚实地面对公司缺点，不要试图用漂亮外表掩盖。我们有高度敏锐的胡说八道测量仪。跟进安全给您的修复这些缺点的建议大有帮助。向安全员工发出组织准备尝试修复问题的信号可以对士气产生巨大影响。

现在您说得头头是道，如何行动？三个词：安全人员配置标准。拥有解决人员配置问题的书面计划告诉您的经验丰富员工，管理层认识到健康计划的需要，并给您一些可以管理的东西。

没有两家公司有相同的人员配置需求，没有人想出完美公式。就安全技术方面的人数而言，我个人喜欢使用“IT比率”度量作为起点。

详细研究可能是另一天的帖子，但基本上，IT员工的6-8%分配给安全大约是中间水平。显然，您所在的行业和一些专业技能可以影响这个数字。

了解您的业务，相应调整，并准备在运营环境变化时适应和更改该标准。

强烈警告…不要陷入工具陷阱！！！购买产品不替代人员编制，事实上，由于管理该工具的专业性，它可能增加需求。工具与锤子没什么不同。锤子不会自己摆动！

我的公司有所有这些问题，现在怎么办——

如果您是C级高管，碰巧看到我的小 rant，球在您场上。拥有您的政策，通过让安全直接向您汇报来启用安全，相应配置人员，您将比下一个人领先光年。对于安全人员，即使您的组织命中所有这些问题，不要立即放弃。将其视为挑战，尽力打好仗，如果您看不到改进尝试，带着微笑离开。（或像Shon建议的那样直接逃跑）您幸存下来，您学习了，您可以带走所有行不通的知识，帮助一个真正真正真正想要和需要您帮助的组织。我留给您（特别是我们在Equifax的信息安全兄弟姐妹）我最喜欢的谚语，我在Target漏洞后不久传递给一位总监：“平静的大海造就不出熟练的水手！”祝您好运。