CSO说安全：杂谈企业信息安全中的沟通与合作

肖波

某互联网企业总经理助理

有些安全从业人员认为，一个优秀的安全人员，就应该排除万难，坚持做正确的事情，哪怕所有人都不能理解。可是大到在同一个集团，小到在同一个科室共事，如果别人都不能理解你，又如何与你合作？没有合作，又何谈事业呢？单打独斗，个人英雄，只能打败仗，只能把事情搞砸。只有良好的沟通，充分考虑各方的述求，互相理解与合作，团结一切可以团结的力量，才能更快、更好地把事做成。企业信息安全建设，尤其如此。

分享一个资产保护的案例：确保国家元首在风险和政治目的之间取得平衡。

国家元首是宝贵的公共资产，其人身安全受到特殊的威胁，而且任何的财富和技术都无法避免这种威胁。各国均通过指派独立的安全专业团队来做出响应，以确保国家元首的安全。

对于这些安全团队而言，他们的责任是在确保国家元首人身安全，允许其行使职权以及实现自身政治目的之间取得一种平衡，这是一件极其困难的事情。

对于安全团队来讲，风险最小的方式是避免国家元首外出以及在公共场所露面，最好将元首限制在一些掩体或大院中，远离公共场所和难以预测的人群。不过，为了实现政治目的，国家元首经常需要暴露在公众场合，他们无法在公开场所只接触那些全部经过审查的人，这种接触必然具有一定的风险。

一个有效的安全团队在向国家元首给出建议时，会评估风险与收益，并基于风险及其他诸多因素全面进行分析，并提出规避和接受风险的建议，最终由国家元首做出自己的决定。出于自己的政治目的，元首可能会无视安全团队的建议。例如2009年1月20日，奥巴马正式成为美国第44任总统当天，安全团队建议他“应该留在他的车里”进入白宫，但是他却否决了这个提议。在那个寒冷的日子，奥巴马和他的妻子米歇尔不止一次地离开了他的装甲豪华轿车，沿着宾夕法尼亚大道向他们的仰慕者挥手致意。

而2020年5月31日晚，美国“黑人之死”事件导致抗议示威活动，示威者聚集在白宫外面抗议时，特朗普再一次被安全人员带入地堡内。躲进地堡的特朗普在倍感安全高兴之余还连忙发推，赞扬特勤局和保镖们周到的工作，没有让他受到伤害。

在不考虑国家元首的政治目的和优先事项的情况下，制定计划并提供建议的安全团队，很快就会被国家元首发现与自己的政治目的不一致，无法成为可信赖的合作伙伴。

这个案例虽然不是信息安全的案例，但是让我感受很深：一个企业信息安全管理者如果不能综合考虑损失与收益，只纯粹站在预防损失的角度考虑问题，一定会不断受到阻力，越是“排除万难，坚持做正确的事情”，越是“不会被理解”，最终必然成为其它部门“无法信任的合作伙伴”。

非常可惜，在传统意义上，信息安全已经被理解为预防损失的一门学科，大多数安全人员更专注于可能的负面结果，希望这个案例也能给更多的安全人员带来一些启发。

在国家安全监管愈加严格背景下，众多的企业安全管理人员感觉大有可为，觉得监管的要求是自己工作的抓手，甚至有个别企业信息安全管理人员将“安全驱动业务”当成了自己的使命。但实际工作中，不少企业安全管理人员却发现，虽然企业领导层在思想上提高了重视，对安全团队的要求也是“安全不要出问题”，但是在投入方面却依然“雷声大、雨点小”，团队人员编制和资源也依然非常有限。

这样的落差导致了部分安全管理者在安全工作推进不顺利时，就理所应当地认为“安全需要自上而下的推进”“领导不重视安全，给安全的授权不够”，导致他们对否决权尤其是一票否决权有着很深的执念，认为有了一票否决权，那就什么都好办了。

不可否认否决权对安全团队的重要性，但它很多时候又会让安全管理者尤其是新晋安全管理者陷入一个误区——喜欢滥用手上的一票否决权。这种行为导致了许多企业对安全团队的评价很不好，甚至一些企业不敢授予安全团队否决权，担心安全会阻碍业务的发展。进而导致个别安全从业人员认为别人都不能理解安全，坚定地认为自己的一切都是为了企业的信息安全着想，强势地拒绝沟通，拒绝与业务部门合作。这听起来貌似很夸张，但实际上又有多少企业的安全团队在工作中会主动考虑业务发展？只是他们还没强势到能够拒绝业务开展，所以就很自然地形成了一堆的“例外审批”和“定责机制”。

我不知道有没有同学中枪，反正我是这样走过来的，还曾沾沾自喜，认为把所有的责任全部都摘除干净了。直到有位前辈委婉地批评我，说这样会不会是不太负责任的表现，并建议我更多地从业务的角度来看安全的问题。

我回过头来重新翻看信息安全相关的资料时,猛然发现原来前辈们早就已经说得很清楚了，只是我之前未能理解而已。

BSI在ISO27001中对信息安全管理体系的说明就是：“信息作为一种宝贵的资产，可以为您的企业带来成功，也可能带来毁灭。当管理得当时，信息可让您充满信心地投入工作。信息安全管理让您确信所有的保密信息都可保证安全，从而让您自由地发展、创新和扩大您的客户群”。

The Open Group更是明确说明了：“安全架构应通过最大化收益，与最小化损失来支持业务目标。”

大家都知道一家企业存在的目的是盈利，那么一家企业愿意花钱请专业信息安全人员，无论是合规驱动还是事件驱动，领导层真正的关注点都是如何最大化收益，最小化损失。

从这个角度来看，企业安全信息管理人员是不是站在信息安全的专业角度，给出如何最大化收益、最小化损失的建议会更好？综合评估如何降低企业损失，以及如何提高企业收益（包括吸引客户，降低客户流失，提高品牌美誉度等等），结合资源投入，提出安全建议（如果能提供上中下三策由业务和管理层来选择，可能也是不错的）。想到这个，我仿佛觉得自己的格局又打开了一点点。

任何组织资产都不是为了仅仅被保护而存在，它们存在的目的是为了创造价值，而利用这些资产创造价值就意味着可能会使这些资产面临风险。作为一个企业信息安全的管理人员，需要清晰地意识到正是这种风险驱动了企业对信息安全的需要。而意识到这点，曾花了我不短的时间。

很多企业，信息安全与业务条线长期存在冲突，我个人认为除了信息安全意识之外，更主要的是看待问题的角度。安全专业人员往往是从防止负面结果看待问题，而业务部门往往专注于它们所追求的积极结果。另外，对比相对单纯的安全团队人员来看，业务条线的同事更加的“社会”，他们比安全团队的同事更能理解“红线”的意义。强势的业务部门一定也是要“排除万难，坚持做正确的事情”。

如果在不考虑组织目标和优先事项的情况下轻易地提供建议或者否定业务部门的业务述求，安全团队很快就会被业务部门定义为与它们的目标不一致，无法成为可信赖的合作伙伴，形成对抗，甚至疏远。久而久之，除非企业处于安全影响到生存的情况，否则，安全团队很有可能被边缘化或是显得无用。

面对强势的业务部门，有些安全同学选择了坚持对抗，有些安全同学选择了“例外审批”。那我们能不能选择和业务部门站在同一战线，一起“排除万难，坚持做正确的事情”呢？我觉得是能的。

和业务部门站在同一战线，我觉得可以分两个阶段，转变观念和战略协同。

第一阶段：转变观念。安全团队需要真正意识到业务部门绝对不是对手，而是朋友，大家有着共同的目标：最大化收益，与最小化损失，为企业创造更多的利润。只有观念真正转变了，才能放弃和业务部门的对抗，才能意识到“例外审批”不仅是无意义的，还会被强势业务部门认为是他们“排除万难，坚持做正确的事情”所取得的阶段性成果。

观念转变后，事情反而没那么复杂了。一样制定管理红线，但必须让业务条线的管理层和运营人员清晰地知道哪些红线是一定不能去碰的。一样进行风险评估，只是针对可容忍风险，把“例外审批”的做法换成“应急预案”。要求多方一起制定“应急预案”，一旦发生事件后，把各方的行动方案梳理清楚放在明面上。

这会带来一个好处：安全团队在“救火”的时候不再是孤军作战，各方都会行动起来，“费用充足”的业务部门还会买来奶茶和零食。多少能直观让业务部门感受到安全团队是为业务着想的，产生一些良性的互动。而业务部门的互动又会感染到安全团队，形成一个良性的循环，自然而然地进入第二阶段。

第二阶段：战略协同。这一阶段安全团队要做的事情很多，也很困难。安全团队需要与业务部门的同事不断交流，摸清各业务条线的业务模式，搞清楚各部门的岗位角色，理解各岗位KPI的设计原理，需要对企业当前关注的重点、组织目标和优先级深刻理解，还需要对企业所处行业的当前现状有比较深入的了解。

只有这样，安全团队才能熟练地使用业务部门的“业务术语”，才能被业务部门认为是自己人；只有这样，安全团队才能对业务流程有清晰的认识，才能真正发现业务流程中存在的风险；只有这样,才能对业务究竟需要什么安全服务进行有效的思考，才能从业务的角度去描述安全服务；也只有这样，安全才能真正成为业务属性，安全团队才能发挥出更大的价值。

这个过程，安全团队有很长的路要走，不仅自己不能懈怠，还需要团结更多的伙伴主动为公司的信息安全建设出力。例如：信息技术团队可以进行资产分级管理、基线配置检查、漏洞扫描修复、安全开发生命周期管理，风控法务团队可以实施管理红线的制定、法律法规的解读，人力资源团队可以实施人员安全的管理、安全培训的组织，行政综合团队可以执行职场物理环境安全的管理，审计团队可以执行安全审计，采购团队可以支持实施供应链管理等等。这个只需要安全团队愿意去沟通，为大家赋能，伙伴们其实是很能做出彩的。

在这个过程中，安全团队需要与安全厂商建立良性合作，需要对各安全厂商及他们产品的特点进行深入了解，具备识别“有人在胡说八道”的能力。除了POC的时候要认真测试，对同类型的产品尽量多评估一些外，还需要多向圈子里面的前辈大佬们请教这些产品的坑，这样才能设计出更好的解决方案。

在这个过程中，安全团队还应当与相关监管部门建立有效沟通渠道，代表各业务条线将经营管理中的实际困难和疑点问题反馈给监管部门，明确监管红线。还可以通过与监管部门的沟通，了解监管关注的重点，提前安排排查、处置。

这一切都需要安全团队通过良好的沟通，充分考虑各方的述求，互相合作才能实现。

信息安全有着一个庞大的知识体系，涵盖了物理环境安全、网络安全、终端安全、应用安全、数据安全等等方面。安全团队在企业信息安全建设中更是担负着安全制度建设、流程控制、安全项目实施、安全审计、安全意识培训、安全开发管理、安全运维保障、安全运营、应急响应等等工作，可能还得配合监管检查、整改推进，工作内容十分庞杂。

想靠单打独斗、个人英雄是很难做好企业安全建设的。安全团队除了要熟练掌握安全的各项专业技能外，还需要熟悉企业的各项业务。转变思路，善于从业务的角度考虑安全问题，综合评估最大化收益，最小化损失后再提出安全建议。打开格局，团结一切可以团结的力量，多站在对方的角度考虑,更好地与各方保持良好沟通和合作，最终达到“上下同欲”，认可“安全是一种业务属性”的状态，才能更好地体现安全价值。

第二届超级CSO研修班全貌

过程回顾

开营  导师团  结营 

导师授课

谭晓生  刘新凯  欧阳梅雯  欧和  贺嘉  

吕一平  黄承  杜跃进  李吉慧  杨哲

学员论文

丛林  张福明  宋士明  冯斯恩  

王书魁  徐越  乔庆鹏

首届超级CSO研修班全貌

过程回顾

首发 CSO说 报名 导师团 领航 价值 开营 揭幕 结营 

导师授课

学员论文

向阳 廖位明 张永刚 郑太海 胡广跃 秦峰 黄乐 赵锐

洪岩  刘峰  

齐心抗疫 与你同在