安全团队的商业意识与合作

关键要点

• 信息安全领导者应考虑商业影响，将业务目标融入数据保护战略。
• 建立业务信息安全官（BISO）角色，与CISO合作，推动安全团队与商业目标的对齐。
• 透明的沟通和团队间的合作是推动组织成功的关键。
• 安全团队需要在业务中占有一席之地，以了解组织的长远目标。
• 构建信任的文化对于避免团队间的障碍至关重要。

信息安全领导者愈发需要综合考虑业务影响及使命，以制定保护系统和数据的策略。许多组织开始设立
，与首席信息安全官（CISO）合作。

在
的主题讨论中，提出了一个问题：安全团队需要了解多少业务优先级的细节？

NFL的CISO TomásMaldonado表示：“理解业务背景——即‘为什么’是我团队成功的关键。他认为，提高安全团队透明度是安全领导者的责任，他们争取在业务决策中占有座位。”

他进一步指出：“我鼓励我的团队与组织内的同行交流，而不是只局限于IT部门，而是要走进商务领域。建立这些关系，了解我们为何要开展新的倡议，主动与业务利益相关者沟通。最终，你需要能够拨打那个合作伙伴的电话，跟他们说，‘嘿，这是我们正在做的事情，我认为这可能对你的业务产生的影响。’这样的合作文化非常重要。”

Salesforce称这一意识形态为“战略与执行”，这一理念由前CIA首席信息安全官WilliamMacMillan提出，后者于5月加入Salesforce担任高级副总裁，负责安全产品和项目管理。其步骤为：第一步，让安全团队参与决策；第二步，赋予各学科团队理解使命的能力。

CRA的Jill AItoro在InfoSec World 2022上主持了与Salesforce的Maggie Amato和NFL的TomásMaldonado的总会话。

MaggieAmato，Salesforce的业务信息安全官强调：“如果你在考虑开发一个应用程序，我们需要参与。如果你在考虑收购其他技术或公司，我们需要讨论，因为这些会影响我们的内部运营。这些都是安全团队需要了解的内容。”缺乏这一理解，安全团队就陷入了“土拨鼠日”般的循环中，反复探讨为什么要做某些事情，提升生产力和授权的效率受到阻碍。

“每个人都需要理解我们的目标，”她进一步表示，“Salesforce是什么？我们希望在成长过程中成为什么？我们是一家巨型公司；但我们心中的北极星是什么？各个部门又该如何对齐？”

在执行战略时，隔离操作会为企业带来一系列风险，特别是对于那些拥有复杂组织结构的企业而言。以Salesforce为例，每次收购一家软件公司的过程都称为“云”，每个“云”都有各自的业务信息安全官。公司还有首席可信官，负责所有信息安全以及数据治理和风险。Amato具体负责整个Salesforce的业务信息安全，支持公司的8万名员工，并向首席可信官汇报，同时与CIO建立业务伙伴关系。

与NFL的情况相比，Maldonado通过物理安全团队进行汇报，而他的上司则向总顾问汇报。在Maldonado领导下的安全团队包括四位负责治理与合规、风险管理，以及安全架构与工程的领导者，约有四十人向他们汇报。除此之外，NFL还有32个俱乐部，这些俱乐部各自运作，Maldonado对他们的安全环境并没有直接的指挥和控制，因此他依靠对联盟宏伟愿景和优先事项的认知来推动安全工作的开展。

他说：“这不仅仅是因为Tomás说需要这样做，或是因为Joe Business说