身兼多職是常態(tài) 為什么有一種分身乏術(shù)叫搞安全的?
原創(chuàng)【51CTO.com原創(chuàng)稿件】你是否也在公司身兼數(shù)職,包括某些方面的信息安全呢?如果是,放心,你不是一個(gè)人。很多資源受限的IT公司必須在日常安全和IT工作中進(jìn)行平衡,IT人員都被要求處理各種各樣的安全工作。對(duì)他們而言,身兼數(shù)職有機(jī)會(huì),也有壓力。但困難和挑戰(zhàn)的背后,往往也伴隨著好處。
近期對(duì)287名IT和業(yè)務(wù)人員進(jìn)行的在線(xiàn)調(diào)查中,大多數(shù)受訪(fǎng)者稱(chēng)自己的公司是由IT部門(mén)負(fù)責(zé)信息安全。相反,只有17%反饋說(shuō)有專(zhuān)門(mén)的團(tuán)隊(duì)處理信息安全。另外14%稱(chēng)信息安全是由IT和信息安全員工共同處理,6%說(shuō)自己的公司有包括信息安全在內(nèi)的專(zhuān)門(mén)安全團(tuán)隊(duì)。這意味著,只有37%的受訪(fǎng)者工作在有專(zhuān)職信息安全員工的公司,這或許解釋了為什么很多公司難以跟上安全需求的原因。
一位不愿透露姓名和公司名的紐約市區(qū)某中型金融服務(wù)公司IT主管表示,他同樣需要在多個(gè)角色之間跳轉(zhuǎn),除技術(shù)部門(mén)所有日常工作,比如桌面支持、工程和開(kāi)發(fā)等等之外,還要負(fù)責(zé)網(wǎng)絡(luò)安全。他說(shuō),由于過(guò)去5年外部技術(shù)態(tài)勢(shì)不斷發(fā)展,他的職責(zé)增加了很多。現(xiàn)在他的角色,已經(jīng)從傳統(tǒng)CIO,變成了全能CIO/CSO管理崗,必須保持自身在技術(shù)/安全領(lǐng)域的領(lǐng)先優(yōu)勢(shì)。
在綠色門(mén)診健康系統(tǒng)(GCHS)——北路易斯安那州一家內(nèi)科醫(yī)師開(kāi)的醫(yī)療保健系統(tǒng),杰森·托馬斯身兼CIO、IT主管和《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA)安全官3個(gè)角色,要確保GCHS符合HIPAA所有條款。他手下有4名全職1名兼職員工,他的部門(mén)負(fù)責(zé)處理整個(gè)系統(tǒng)全部5個(gè)門(mén)店的所有IT和通信事務(wù),并要擔(dān)負(fù)起這家450名員工的公司內(nèi)部網(wǎng)絡(luò)安全部門(mén)的責(zé)任。
托馬斯說(shuō):“我常開(kāi)玩笑說(shuō),只要插墻上的東西,就在我的管轄權(quán)里。但這其實(shí)更多的是一種友情提示人們應(yīng)該先找哪個(gè)部門(mén)的方式,而不僅僅是個(gè)玩笑。”
重疊的責(zé)任劃分
從安全角度出發(fā),這種大范圍角色擔(dān)當(dāng)確實(shí)能提供一些益處。“因?yàn)樽鳛橹鞴茴I(lǐng)導(dǎo)IT部門(mén),我就擁有了對(duì)日常運(yùn)營(yíng)和挑戰(zhàn)的可見(jiàn)性,讓我可以直接向高層帶去關(guān)于公司運(yùn)營(yíng)和安全的一些考慮,還可以引薦或開(kāi)發(fā)必要的工具、策略和規(guī)程來(lái)解決任何問(wèn)題或需求。”托馬斯說(shuō)道。
IT/安全復(fù)合角色帶來(lái)益處的例子,是在數(shù)年前一套電子醫(yī)療保健記錄系統(tǒng)的開(kāi)發(fā)中體現(xiàn)出來(lái)的。“伴隨那套系統(tǒng)的實(shí)現(xiàn),我們用以支持健康記錄安全電子訪(fǎng)問(wèn)的技術(shù)策略和能力,也進(jìn)行了深刻的審查和重構(gòu)。”
但這不意味著就沒(méi)有重大挑戰(zhàn)存在,最近的一個(gè),是關(guān)于新醫(yī)療業(yè)務(wù)的購(gòu)置。“有時(shí)候,作為CIO,必須得面對(duì)一些政治挑戰(zhàn),比如嘗試向醫(yī)師解釋為什么他/她不能按以往單干時(shí)期的方式做事。”
其他時(shí)候,則有些技術(shù)問(wèn)題要攻克,比如現(xiàn)有工作站重用引發(fā)的問(wèn)題,審計(jì)當(dāng)前配置以確保沒(méi)有惡意軟件且能夠支持安全策略和安全軟件等等。
良好溝通是應(yīng)對(duì)挑戰(zhàn)的關(guān)鍵。“我們有例行管理周會(huì),討論公司當(dāng)前問(wèn)題。很多時(shí)候安全問(wèn)題就在會(huì)上提出,并形成解決方案。”
【51CTO原創(chuàng)稿件,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】
