对于面临所有外部威胁的企业而言,最困难的挑战也许是改变企业内部对网络安全的看法,和对安全团队所做工作的理解。
早在十八世纪中叶成立的律师事务所富而德,现在已经成为国际知名事务所,在全球拥有27个办事处,300个k8凯发天生赢家的合作伙伴和超过4000名的员工。
一、把安全语言转化成业务语言
富而德ciso马克·沃姆斯利,带领着一个20人左右的安全团队,负责物理安全、供应商保障、网络设计、客户审计、事件响应、渗透测试、意识培训和隐私保护等工作。“人们通常认为,法律行业在安全方面落后于其他行业。但实际上,我们对安全技术跟得非常紧。与其他专业服务公司一样,律师事务所的现金流非常充沛,因此可以快速地做出合理的决策。”
沃姆斯利在转到it部门之前是一名律师,现在成为了一位ciso。律师的经验和对业务的理解,对他的安全工作非常有利。“我非常幸运对两方面的工作都有经验。律师是非常讲究细节的人,你讲的任何事情都他都会去深究。所以,要计划好要讲什么,如何讲,关键信息是什么,并且简明扼要。”
理解律师的工作动力和最关心的事情是什么,安全团队才能更好的推广控制和技术,而不仅仅是强调降低公司风险。例如,使用安全机制良好的文档协同应用,不仅能够提升文档安全,还可以帮助律师的工作更加弹性,产生更多的潜在业务机会。
“只要你给律师们开始谈收入机会、客户,开始谈弹性,马上就吸引了他们的注意力,接下来很自然的就谈到了安全。把有关安全的谈话转化成收益和机会,尤其是从客户的角度去谈,效果截然不同,会真正的打动人心。”
二、把安全当做业务拓展的机会
安全团队可以利用自己的安全能力来拓展业务机会,比如匹配业内某个特定的标准来吸引客户。
“我们有一些汽车厂商客户,他们的安全控制是独有的,不被其他企业所知道和理解。如果我们能够接受其他律师事务所所不能接受的标准,就意味着这些汽车厂商会与我们有更多的业务合作。其实从内部来讲,这些厂商知道他们的风险所在,哪些安全控制是适用的。”
沃姆斯利指出,与k8凯发天生赢家的合作伙伴和客户的安全团队对话是另一个拓展业务的机会。“律师有律师的对话,而安全团队则会谈风险函数这类的问题,这种具体的技术问题就不是律师能交流的了。于是他们就会给高层汇报富而德正在做这方面的事情,也就意味着我们能为客户提供更加重要的服务。在谈话中律师们会突然明白,他们并不了解风险函数方面的事情,因为大家工作的层面各有不同。”
“我们讨论安全,这就是我们与其他人不同的地方。”
三、作为供应商 涉及安全时要主动
供应链安全近年来受到很大的关注,攻击者通过第三方k8凯发天生赢家的合作伙伴得以入侵目标,最知名的案例就是塔吉特因其供暧及空调供应商被黑的案例。从供应采购关系上来看,富立德律师事务所属于法律服务供应商。沃姆斯利表示,他非常渴望与公司客户的安全团队有着主动的联系。
“与其他行业一样,法律行业也会受到来自客户的审计压力。任何机构都有不足的地方,找到客户真正关心的事情和他们最可能提出的问题,提前做好准备,岂不是一件非常有意义的事吗?”
“没有什么比客户找到门上来更糟糕的事情了,我们来对你进行审计,我们知道一些你们自己都不知道的事情。”
“富立德的安全团队会在审计期前拿起电话,打给审计员问他们的关注范围是什么,担心哪些事情。大致上得到一个接近客户审计的基准,同时也给予我们一个机会,了解我们自己不知道的事情。当身份互换时,反之亦然。”
通过这些谈话,还可以知悉客户的战略发展方向。例如,如果客户表示高度关注自己的供应商,甚至是k8凯发天生赢家的合作伙伴的供应商,那就意味着客户要着重加强自己的供应链管理流程,为下一次审计工作做准备。
“如果沟通工作做的到位,对方的审计员会说‘他们提前给我打了电话,他们理解我们所需的问题,并能够交付。如果我们今天就开始审计,也在他们的安全计划内’”一旦有了这种沟通效果,与客户之间就不再是审计关系,而是知识共享关系了。”
四、推动业务对安全的理解与责任
法律相关的领域正在经历快速数字化转型的过程。在律师事务所这个已经饱和的市场上,许多人都在借助各种数字化和机器学习技术以寻求自己的差异化。“在这个领域必须要创新,尤其是像毕马威、埃森哲、德勤这样的机构都开展法律服务了,我们也应该走进他们的领域。”
跟上并适应新技术环境带来的变化,ciso要考虑许多事情,如满足创新需求、管理遗留系统,同时还要降低小型安全团队的工作负担。沃姆斯利提出,尽量避免直接谈及某某新理念可以解决影子it或是其他安全短板的问题,而要从安全对业务的责任来谈。
“当人们问,你能接受这个风险吗?我会说,不,虽然我们能做,但你必须为风险担负责任。你不能再沉默无关,你需要承担责任。如果发生不好的事情,是你会被列入解雇行列。”
“如果他们的确想做些什么,我们就能一起承担风险。如果他们走开,至少你能知道他们真得不需要或不想这样。”
富立德的安全团队,推动业务对安全的理解与责任。他们告诉业务部门日常的安全工作是怎样的,并向展示一手的安全操作。每天都有安全简报,包括威胁情报,外面发生的可能会与富立德相关的攻击活动,以及近期影响员工邮件的安全事件等。甚至,安全团队还把业务部门人员和k8凯发天生赢家的合作伙伴拉到一起成立小组,来共同回顾安全简报和一手的威胁情报。
“时不时的有人就会出现在我们的报告里,有人发现一条情报,有人担心某员工离职。我们能够运行一个经允许的流程,然后给出针对某人的一手威胁报告,并能够指出他们的行为到现在为止是安全的,并可监控和追溯他们的行为活动。”
把安全的复杂性呈现出之后,富立德的领导们可以更好的了解这些挑战。“他们意识到,安全不是一个非此即彼的是非问题,不能简单的回答我们到底是安全的还是不安全的。安全就像下象棋,必须时刻移动棋子来确保最佳的防御状态。一旦你给人们呈现出威胁的复杂性,以及应对这些威胁所需的流程和操作的话,他们就会立刻转变,开始承担应有的责任。”
试用申请