作者:AWS 首席信息安全官 Stephen Schmidt

为什么有些安全组织比其他安全组织更成功?一个成功的安全组织是什么样的? AWS 首席信息安全官 Steve Schmidt 给出了他的观点,他重点介绍了在成功的安全组织中观察到的三个共同特征,以及三个正在将这些特征应用于自身优势的首席信息安全官同事。了解这些首席信息安全官为什么能够改善他们公司的风险状况,并能够比其他人更快、更高效地创造新的业务价值。


安全的民主化

首席信息安全官、首席安全官和首席技术官等安全与风险管理高管的职责正在急剧扩大,这已不是什么秘密。

我们不仅有责任防范安全威胁和保护商业网络,现在我们还在迅速发展成为我们组织品牌的管理者,加强其声誉,同时建立董事会信誉和客户信任。

在我担任 Amazon Web Services 首席信息安全官的 12 年多时间里,我与众多 AWS 客户在云和安全性方面进行了合作,我认识了一些出色地完成了这一转型的杰出组织。我还能亲眼看看他们是如何做到的。

成功的安全组织对我们来说是什么意思? 这些公司正在以比其他公司更高效的速度改善风险状况,同时优化云的使用,以更快的速度创造新的业务价值形式。

与法律和合规专业人士、审计合伙人以及监管机构密切合作,可能是三个特征中最关键的。与安全专业人士一样,这些人的任务是保护他们的组织,所以他们需要尽早和经常参与进来。能够快速采用云的安全组织认识到,法律、审计和合规利益相关者都可能成为强大的盟友。

尽早和经常沟通

高度成功的安全组织的特征
高度成功的安全组织的特征
有些公司可以更有效地改善其风险状况

成功的安全组织会主动与法律、审计和合规专业人士沟通,并确定一致性的优先级。这一点似乎很明显,不过,我们经常会看到组织建立起自己的内部控制系统,并得到了动力,但却遇到了挫折,因为他们一路上并没有与正确的团队适当结盟。要克服传统的运营方式并不总是那么容易,对于一些组织来说,传统的运营方式是在给定流程的中间或接近尾声时争取利益相关者。作为安全领导者,我们不希望看到安全在产品构建完成后被“栓”在产品上。同样,我们应该将必要的步骤集成到我们的安全流程中,以主动确保符合法律、审计和合规要求。在 AWS,我们经常做的一件事就是尽早与客户和他们的内部审计人员沟通,这样他们就可以教他们的利益相关者如何在云中成功进行审计。为此,我们提供指导和工具,并开展“游戏日”模拟审计练习。


相关阅读材料

培养安全领导力
电子书
培养安全领导力
超越系统和工具,投资于人
打造安全文化
电子书
打造安全文化
规范和实践有助于建立风险意识
安全性与合规性快速参考指南
电子书
安全性与合规性快速参考指南
维护可靠的安全性和法规合规性的战略

如何带领您的团队采用云?

让现有员工学习新技能并扩大其规模的成本比招募新团队低。