信息化觀察網(wǎng)

架起橋梁的第一步從理解問(wèn)題開(kāi)始。IT部門和安全運(yùn)維部門幾十年來(lái)一直是各自為政，所以員工的想法是“如果沒(méi)出問(wèn)題，就不要去修理了。”但事實(shí)上，問(wèn)題已經(jīng)出現(xiàn)了，很少有人意識(shí)到由此產(chǎn)生的影響。

據(jù)Forrester最近代表端點(diǎn)安全公司Tanium進(jìn)行的一項(xiàng)研究，67%的受訪IT領(lǐng)導(dǎo)承認(rèn)，很難推動(dòng)這兩個(gè)部門之間的合作，部門之間的分歧擴(kuò)大了已經(jīng)存在的互信鴻溝，導(dǎo)致更加難以解決問(wèn)題。

研究發(fā)現(xiàn)，在安全部門和IT部門缺乏協(xié)作的企業(yè)中，由于部門間沒(méi)有建立良好的關(guān)系，修補(bǔ)IT漏洞的時(shí)間要長(zhǎng)近兩周。這種延遲可能會(huì)使企業(yè)面臨被黑客攻破、品牌受損甚至部門癱瘓的重大風(fēng)險(xiǎn)。

企業(yè)不清楚他們不知道什么

Forrester公司調(diào)查的51%的IT領(lǐng)導(dǎo)表示，他們認(rèn)為自己非常了解環(huán)境中的漏洞和風(fēng)險(xiǎn)，49%的受訪者表示，他們對(duì)與IT環(huán)境相關(guān)的所有軟件和硬件資產(chǎn)都有充分的了解。從我與一些高級(jí)IT人員的交談中，我認(rèn)為只有不到20%的人充分了解漏洞。

每一家和我交流過(guò)的公司都認(rèn)為他們知道IT環(huán)境連接了什么，實(shí)際上他們不知道。據(jù)我估計(jì)，只有不到10%的公司真正知道IT環(huán)境中到底連接了什么。除非企業(yè)的IT環(huán)境是完全封閉的，否則很難知道。用Spock的話說(shuō)，“不掌握實(shí)際情況總是會(huì)帶來(lái)危險(xiǎn)。”

問(wèn)題只會(huì)變得更糟。物聯(lián)網(wǎng)和邊緣計(jì)算的興起意味著更多地方會(huì)有更多的設(shè)備，其中的很多設(shè)備，IT都不知道是聯(lián)網(wǎng)的。更嚴(yán)重的問(wèn)題是，很多物聯(lián)網(wǎng)設(shè)備運(yùn)行的是老舊的操作系統(tǒng)，用戶名和密碼是默認(rèn)的，可能很多年都沒(méi)有打過(guò)補(bǔ)丁了。

首席信息官怎樣提高部門間的凝聚力

對(duì)于很多企業(yè)來(lái)說(shuō)，面臨的一個(gè)問(wèn)題是安全部門和IT部門似乎不太愿意合作。如果想要他們合作，就必須由首席信息官推動(dòng)，深入到部門中。

很多首席信息官用來(lái)推動(dòng)這種轉(zhuǎn)變的一個(gè)策略是把目標(biāo)轉(zhuǎn)向基于業(yè)務(wù)成果，根據(jù)一項(xiàng)計(jì)劃是否成功來(lái)評(píng)價(jià)整個(gè)IT部門。例如，如果一家零售商推出了一款移動(dòng)應(yīng)用程序，并且該應(yīng)用程序工作正常，客戶滿意度很高，那么每個(gè)員工都會(huì)得到獎(jiǎng)勵(lì)。

在進(jìn)行結(jié)構(gòu)重組時(shí)，安全和IT運(yùn)維還需要一套通用的工具。如果真實(shí)數(shù)據(jù)源是單一的，那么兩個(gè)部門能更好地協(xié)調(diào)，提供一個(gè)完整的環(huán)境視圖，照亮盲點(diǎn)，并通過(guò)實(shí)時(shí)數(shù)據(jù)提高部門間的互信。最終，各部門會(huì)做出明智的決定，迅速反應(yīng)顛覆性事件，及時(shí)采取行動(dòng)。

將IT運(yùn)維和安全運(yùn)維整合在一起的概念并不新鮮——盡管從來(lái)沒(méi)有一套很好的工具來(lái)支持這一點(diǎn)。然而，人工智能和云技術(shù)的興起使得供應(yīng)商能夠快速處理更多的數(shù)據(jù)，這對(duì)IT和安全部門都很有用。

作者：Zeus Kerravala是ZK Research的創(chuàng)始人和首席分析師。

編譯：Charles

原文網(wǎng)址：https://www.cio.com/article/3487798/the-big-task-for-cios-in-2020-bringing-security-and-it-operations-together.html