IT主管們對(duì)于網(wǎng)絡(luò)和安全專家應(yīng)該在單獨(dú)的團(tuán)隊(duì)中工作還是在一個(gè)集成的團(tuán)隊(duì)中工作存在分歧，但是他們一致認(rèn)為良好的協(xié)作是關(guān)鍵，特別是在企業(yè)網(wǎng)絡(luò)變得更加復(fù)雜的情況下。

四年前，當(dāng)Tim Callahan來(lái)到Aflac擔(dān)任CISO的角色時(shí)，這家保險(xiǎn)業(yè)巨頭的企業(yè)安全已經(jīng)深深植根于基礎(chǔ)設(shè)施團(tuán)隊(duì)。

他對(duì)CIO提出的第一個(gè)要求是：讓我組建一個(gè)單獨(dú)的安全小組。Callahan承認(rèn)，這種文化的轉(zhuǎn)變并不容易，但他認(rèn)為，這種劃分實(shí)際上帶來(lái)了更好的合作。

“網(wǎng)絡(luò)和安全是倆個(gè)截然不同的角色，將它們混合在一起是危險(xiǎn)的，”他說(shuō)。“在我們這個(gè)受到嚴(yán)格監(jiān)管的行業(yè)中，我們必須表現(xiàn)出職責(zé)分離�！�

在合格的安全專業(yè)人員人才庫(kù)不斷萎縮的情況下，為一個(gè)封閉的安全團(tuán)隊(duì)進(jìn)行辯護(hù)對(duì)安全領(lǐng)導(dǎo)者來(lái)說(shuō)并不容易。分析公司ESG發(fā)現(xiàn)，從2014年到2018年，在一項(xiàng)關(guān)于IT狀況的全球調(diào)查中，聲稱自己所在機(jī)構(gòu)存在網(wǎng)絡(luò)安全技能短缺問(wèn)題的受訪者比例從23％增加了一倍多，達(dá)到51％。

不過(guò)，Callahan認(rèn)為，只要你清楚地傳達(dá)了每個(gè)團(tuán)隊(duì)的目標(biāo)，以及團(tuán)隊(duì)成員所需承擔(dān)的角色和責(zé)任，并且愿意使用創(chuàng)新和自動(dòng)化來(lái)補(bǔ)充人力資源，你就可以成功地將其重組為兩個(gè)團(tuán)隊(duì)。

在Aflac，安全部門(mén)負(fù)責(zé)監(jiān)控環(huán)境，向組織通報(bào)攻擊和漏洞，并制定標(biāo)準(zhǔn)和協(xié)議。“我們通過(guò)一個(gè)強(qiáng)大的漏洞管理計(jì)劃來(lái)確定風(fēng)險(xiǎn)，然后為網(wǎng)絡(luò)團(tuán)隊(duì)制定補(bǔ)救的優(yōu)先次序，”Callahan說(shuō)。“清晰的界線可以促進(jìn)對(duì)彼此職業(yè)的尊重，并營(yíng)造一個(gè)更健康的整體環(huán)境。”

Aflac安全團(tuán)隊(duì)使用責(zé)任分配矩陣，繪制出在項(xiàng)目生命周期的不同階段需要哪些參與者進(jìn)行負(fù)責(zé)，以及哪些需要被告知。不過(guò)，Callahan認(rèn)為，只有當(dāng)安全被視為每一項(xiàng)IT工作的重要組成部分時(shí)，這種方法才會(huì)有效。

“我們?cè)诰W(wǎng)絡(luò)團(tuán)隊(duì)開(kāi)發(fā)周期的早期就被引入了進(jìn)來(lái)，以確保創(chuàng)建的代碼是真正安全的，”他說(shuō)�！拔覀儾粫�(huì)在生產(chǎn)前就發(fā)現(xiàn)問(wèn)題，所以我們只能決定是讓它變得‘不安全’還是被指責(zé)阻礙項(xiàng)目的推進(jìn)�！�

為什么要將安全與網(wǎng)絡(luò)團(tuán)隊(duì)區(qū)別開(kāi)來(lái)

Respond Software是一個(gè)自動(dòng)化工具，它使用人工智能來(lái)模擬安全分析師的反應(yīng)。該工具的聯(lián)合創(chuàng)始人Chris Calvert表示，重要的是，安全團(tuán)隊(duì)不要在混亂的IT中迷失方向。

Calvert說(shuō)：“我建立的一些安全運(yùn)營(yíng)中心將安全納入了IT，而它們最終都被淘汰了。”Calvert花了近20年的時(shí)間來(lái)為大型企業(yè)建立安全運(yùn)營(yíng)中心，包括IBM、殼牌石油公司、索尼公司和沃爾瑪。他發(fā)現(xiàn)，安全團(tuán)隊(duì)通常聲音很大，在白板上討論如何阻止壞人時(shí)，他們就會(huì)變得活躍起來(lái)。相反，網(wǎng)絡(luò)運(yùn)營(yíng)中心則顯得更安靜，更專注于屏幕上的綠燈和紅燈。

Nemertes Research的首席執(zhí)行官兼創(chuàng)始人Johna Till Johnson表示，如果公司決定將安全團(tuán)隊(duì)單獨(dú)分開(kāi)，還必須考慮領(lǐng)導(dǎo)層的報(bào)告結(jié)構(gòu)。根據(jù)Nemertes對(duì)625個(gè)成功組織的研究，擁有最成功的安全運(yùn)營(yíng)指標(biāo)的公司是那些CISO向CEO、CFO或首席法律執(zhí)行官報(bào)告而不是向CIO報(bào)告的公司�！癈ISO的工作是將技術(shù)風(fēng)險(xiǎn)準(zhǔn)確地轉(zhuǎn)化為法律風(fēng)險(xiǎn)，”Johnson說(shuō)。當(dāng)“CIO被授權(quán)開(kāi)發(fā)這種技術(shù)，CISO被授權(quán)決定這種風(fēng)險(xiǎn)是否值得”時(shí)，這種情況就會(huì)變得混亂起來(lái)。

這也是Callahan的哲學(xué)。他直接隸屬于法律總顧問(wèn)，總法律顧問(wèn)則向首席執(zhí)行官匯報(bào)�！斑@是一個(gè)非常重要的結(jié)構(gòu)，”他說(shuō)�！癈IO和我是走出困境的合作伙伴，而不是從屬關(guān)系。”

Calvert說(shuō)：“同地辦公可能不起作用，但交流可以�！彼�表示：“IT主管和安全主管必須為他們希望從團(tuán)隊(duì)中獲得的緊密關(guān)系建模，因?yàn)槿绻�他們不能和睦相處，他們的團(tuán)隊(duì)也就無(wú)法和睦相處。”

除了IT之外，將安全性作為自己的專長(zhǎng)也讓Callahan能夠更有力地論證自己的預(yù)算，這保證了資金充足的技術(shù)轉(zhuǎn)型和更新。

為什么要整合網(wǎng)絡(luò)和安全團(tuán)隊(duì)

全球食品制造商SugarCreek的首席信息官Ed Rodden表示，軟件定義的網(wǎng)絡(luò)等技術(shù)正在模糊安全和網(wǎng)絡(luò)的邊緣，以至于分散的團(tuán)隊(duì)會(huì)對(duì)企業(yè)不利。

一個(gè)由20人組成的團(tuán)隊(duì)負(fù)責(zé)著這個(gè)快速增長(zhǎng)的8億美元家族企業(yè)的所有基礎(chǔ)設(shè)施需求－－包括網(wǎng)絡(luò)、存儲(chǔ)和安全。Rodden認(rèn)為虛擬化（包括數(shù)據(jù)中心中VMware的NSX SDN平臺(tái)，該平臺(tái)在同一軟件中集成了網(wǎng)絡(luò)和安全控制）促進(jìn)了統(tǒng)一的環(huán)境。他說(shuō)，試圖與不同的團(tuán)隊(duì)管理這樣的技術(shù)將是一場(chǎng)噩夢(mèng)。

Calvert描述的喧鬧的白板場(chǎng)景確實(shí)也發(fā)生在SugarCreek，但它只發(fā)生在領(lǐng)導(dǎo)者之間。 Rodden說(shuō)：“我們會(huì)定期把自己鎖在一個(gè)房間里，有條不紊地檢查網(wǎng)絡(luò)中的所有出口點(diǎn)，對(duì)我們的安全態(tài)勢(shì)進(jìn)行全面審查。這迫使我們需要在安全和網(wǎng)絡(luò)方面達(dá)成共識(shí)�！�

老板喜歡的快節(jié)奏也影響了Rodden的決定。“我們會(huì)收到一封電子郵件，說(shuō)公司已經(jīng)收購(gòu)了一棟大樓來(lái)容納運(yùn)營(yíng)，我們必須在兩個(gè)月內(nèi)完成無(wú)線和基礎(chǔ)設(shè)施建設(shè)，這樣一來(lái)，就沒(méi)有時(shí)間來(lái)應(yīng)付那些職責(zé)分散的人所帶來(lái)的官僚主義，”他說(shuō)。

網(wǎng)絡(luò)安全咨詢服務(wù)公司Friedman CyZen的常務(wù)董事Jacob Lehmann表示：“當(dāng)安全團(tuán)隊(duì)成員在自己的領(lǐng)域陷入如此深的困境時(shí)，他們將無(wú)法明白事情是如何構(gòu)建的，因此也不知道如何更好地保護(hù)它們。”

他補(bǔ)充說(shuō)，隨著企業(yè)進(jìn)一步的進(jìn)入云計(jì)算領(lǐng)域，它們將需要更好地集成網(wǎng)絡(luò)和安全，以制定明確的政策并加以實(shí)施。

“走向云端并不能彌補(bǔ)風(fēng)險(xiǎn)；在許多情況下，它可能會(huì)增加風(fēng)險(xiǎn)，”Lehmann補(bǔ)充說(shuō)，團(tuán)隊(duì)在做出決定之前需要能夠量化這種風(fēng)險(xiǎn)。 “每個(gè)人對(duì)風(fēng)險(xiǎn)的理解越好，他們就越能分清輕重緩急�！�

彌合網(wǎng)絡(luò)和安全的鴻溝

將網(wǎng)絡(luò)和安全團(tuán)隊(duì)分開(kāi)的組織仍然可以通過(guò)教育和培訓(xùn)來(lái)保持緊密聯(lián)系。

Johnson說(shuō)：“安全部門(mén)可以舉辦關(guān)于安全編碼的訓(xùn)練營(yíng)、關(guān)于安全基本原理的午餐討論會(huì)等等。這樣，當(dāng)兩個(gè)團(tuán)隊(duì)需要互信幫助的時(shí)候，他們便已經(jīng)很熟悉了。

Calvert說(shuō)，安全團(tuán)隊(duì)也可以向網(wǎng)絡(luò)團(tuán)隊(duì)學(xué)習(xí)，學(xué)習(xí)包括像ITIL這樣的原則：“安全團(tuán)隊(duì)學(xué)習(xí)網(wǎng)絡(luò)語(yǔ)言是有價(jià)值的�！�