在新的云时代,首席信息官和首席信息安全官如何通过协作取得成功

更紧密的联盟可以提供云迁移、DevSecOps 的优势并提高决策效率

CISO-elastic-1400x840.200.jpg
关键要点
  • 首席信息官和首席信息安全官正在探索更多协作机会
  • 不断增加的网络风险和云迁移正在助力推动这一趋势
  • 在 IT 和开发团队中实施 DevSecOps 有助于实现这两大高管的目标

快速采用多云 IT 环境以及过渡到混合型员工团队,都需要公司高管有新的动向:首席信息官和首席信息安全官要建立更为紧密的联盟。

首席信息官和首席信息安全官只有通力合作,才能在加快技术革新步伐和缓解风险之间取得健康的平衡。迁移到云(尤其是迁移到更复杂的多云环境)这一目标可以更快、更高效地实现。DevSecOps 团队可以减少因引入新软件应用程序而带来的风险。通过更广泛的协作,首席信息安全官和首席信息官可以在引入新技术时共同评估运营挑战和安全风险。

然而,要实现这一目标,两位高管必须将共同目标提上日程。例如,首席信息官必须立志将安全嵌入所有新技术投资中,而首席信息安全官不能让风险规避拖数字化转型的后腿。对于很多组织,这个目标很难实现,只有达成“创新和安全紧密相连”共识的组织才能实现此目标。

非营利性医疗保健组织 LifeBridge Health 的首席信息官 Tressa Springmann 说:“你必须要应对很多潜在冲突。”LifeBridge 首席信息安全官 Rick Miller 补充道:“通常你们会在安全和运营之间达成适当的平衡。”

了解一家全球电信提供商如何在 Elastic 投资中实现 283% 的投资回报率

做出明智的权衡

LifeBridge 有超过 12,000 名员工,在马里兰州巴尔的摩及周边运营六家医院,它在投资新信息技术(电子健康记录、虚拟远程医疗工具和基因组诊断解决方案)时,安全风险也在增加。网络安全在医疗保健领域已经成为一个重要问题,因为网络攻击已严重损坏医院网络并影响患者的治疗。联邦报告显示,去年有超过 4 千万患者的健康记录因数据泄露事件而被泄露。

高层技术领导者如何应对日益增长的威胁?

Miller 表示,尽管面临这些风险,但“医疗保健行业的预算不一定用来投资非常昂贵的数据保护工具。”

这样很难做出平衡。Miller 建议细分医院的 IT 网络以降低泄露的可能性,但很明显,这种改变成本很高,需要更多 IT 支持。Springmann 提出质疑,要求 Miller 提供有关项目的更多数据,以证明这些开支是合理的。Miller 说:“当首席信息安全官和首席信息官能够通力合作来确保组织的经济效益,而不是发生冲突时,即可实现重大价值。”

再举一个例子,Springmann 和 Miller 协作评估了一项近期收购的 IT 系统。Springmann 主要负责调查被收购公司的硬件和软件,而 Miller 负责进行安全风险评估。但 Miller 表示,他们二人没有默认采用其他组织中常见的对抗性流程,而是通过合作的方式确保收购顺利进行并降低风险。

Springmann 说,“这样可以更好地了解这次收购的整体情况。Miller 补充道:“安全功能已融入在我们 LifeBridge Health 所做的方方面面。”

发现 DevSecOps 带来的共同利益

DevSecOps 是一种在创建新的软件应用程序时在开发、安全和 IT 运营团队之间共担安全责任的组织实践;实施 DevSecOps 是首席信息官和首席信息安全官加强合作关系的合理切入点。对于两者而言,确保软件能够抵御网络攻击与保证软件快速正常运行同样重要。

标准普尔全球市场情报公司旗下 451 Research 公司的调查数据显示,2020 年有 48% 的开发团队使用应用程序安全工具,而 2015 年这一比例仅为 29%,这表明 DevSecOps 实践正在不断增长。

Elastic 产品营销副总裁 Gagan Singh 说:“想象一下,如果这些团队和流程能进行更深层次的协作,将会带来什么样的潜在好处。在安全团队致力于快速检测和应对威胁时,可观测性数据可为他们提供更多上下文。同时,精通安全技术的复合型开发人员可以从一开始就嵌入安全措施,从而减少开发过程中的冲突。”

迁移到云

如果首席信息官和首席信息安全官建立了更紧密的协作关系,云迁移就是可以从中受益的另一个领域。云在组织使用和共享信息方面提供了重大业务价值,并显著改变了网络风险的性质。在多云环境方面尤其如此,多云环境可以降低一些威胁级别,同时加重了监测云中所有事件并跟踪多项控制和权限的负担。

即使组织可以从首席信息官和首席信息安全官之间更广泛的协作中受益,但这两个角色仍然有各自的优先事项和责任。这进一步提高了这两个角色定期交流的重要性。例如,Springmann 和 Miller 每两周定期会面一次,几乎每天都通过短信或电话联系。

前首席信息官和《Truth from the Valley》作者 Mark Settle 说:“[我们的合作] 很大程度上是关于沟通和个人关系,如果不注意这两点,结果可能会与预期不同。如果善于沟通并能预见他人的问题和需求,那么两个团队之间可能发生的大部分摩擦都可以避免。”

对于想要在加速技术革新的同时降低安全风险的企业来说,首席信息官和首席信息安全官之间这种更高层面的高管协作至关重要。职位的这种模糊化可能是个问题,但是由于具有共同的目标、加深交流的决心以及组织方面的支持,首席信息官和首席信息安全官可以帮助确保公司安全地完成数字化转型。

阅读下一篇: 多云优势:可扩展性、可靠性、灵活性