IT運維與安全團隊最終都要確保組織的系統(tǒng)運作正常，這樣業(yè)務(wù)目標(biāo)才能順利實現(xiàn)。然而，二者需要從不同角度為業(yè)務(wù)連續(xù)性做出貢獻。安全部門的頭號目標(biāo)在于為企業(yè)提供保護，而IT運營團隊則專注于保障系統(tǒng)正常運轉(zhuǎn)。通常情況下，IT運營與安全團隊必須協(xié)同努力、從各自角度出發(fā)達成共識，才能真正實現(xiàn)工作目標(biāo)。

但顯然，說起來容易做起來難。

為了實現(xiàn)這一目標(biāo)，企業(yè)必須重新審視當(dāng)前IT與安全流程，并確定如何在添加或強化必要檢查與平衡機制的同時，不至于對生產(chǎn)效率造成影響。

這里我將與大家分享五項技巧，旨在加強IT安全與運營團隊之間的溝通與配合。

1.重新審視信息安全團隊與IT運營團隊的角色與職責(zé)，并考慮如何處理變更管理與審計等雙方都需發(fā)揮明顯作用的領(lǐng)域。

2.從2個部門中選擇管理者共同組成專職小組，通過探討制定出標(biāo)準(zhǔn)化流程，用于指導(dǎo)各團隊如何共同處理日常事務(wù)及應(yīng)對緊急情況。這套標(biāo)準(zhǔn)流程需要考慮到雙方實際情況，并融入日常工作方案當(dāng)中。我們不可能預(yù)知用戶向網(wǎng)絡(luò)添加新設(shè)備的要求，但卻可以預(yù)先準(zhǔn)備處理這類要求。

通過與同事協(xié)商的方式制定事務(wù)處理規(guī)劃 (或者像網(wǎng)絡(luò)升級、變更鎖定以及審計這樣的'已知'工作)，我們能夠最大程度降低由變更給流程帶來的安全風(fēng)險。雙方協(xié)定的結(jié)論將成為標(biāo)準(zhǔn)運作流程中的組成部分，并以培訓(xùn)方式傳達給每一位團隊成員。這種積極的方式確保團隊面臨緊急情況時仍能做出正確響應(yīng)。

3.與企業(yè)管理者一同制定管理目標(biāo)與績效指標(biāo)，其中涵蓋個人與團隊兩大層面。如果安全性由于糟糕的組織變更而遭受損害，那么每個人都要承受惡果。如果安全要求太過嚴(yán)格而導(dǎo)致服務(wù)水平協(xié)議無法與之匹配，那么業(yè)務(wù)就將受到嚴(yán)重影響。

4.建立協(xié)作關(guān)系并以強制方式推動溝通。鼓勵各團隊建立午餐討論活動及戶外活動，幫助各個部門之間建立交流通道。規(guī)劃一些有趣的IT組織活動，讓不同部門的員工們彼此成為朋友，打破業(yè)務(wù)孤島這一不利局面。另外，每周、每月、每季度定期組織回顧研討，幫助兩個部門繼續(xù)關(guān)注內(nèi)部流程改進(根據(jù)2012年網(wǎng)絡(luò)安全調(diào)查報告的結(jié)論，糟糕的內(nèi)部安全流程是企業(yè)面臨的頭號安全風(fēng)險)。這些活動不僅有助于各團隊成員提高意識、共同決策，而且人們通常也更喜歡與友好的面孔進行交流。

5.利用新近出現(xiàn)或經(jīng)過改進的處理流程促進協(xié)作，并讓雙方團隊的日常工作更輕松。如此，站在全局高度的宏觀視角將使網(wǎng)絡(luò)環(huán)境的可用性與安全性同時得到提升。

最后給各位CSO 一點提示：當(dāng)一天的工作結(jié)束后，CSO 應(yīng)該重新審視工作成果、檢查自身是否在安全與業(yè)務(wù)之間找到了絕佳平衡點，一定要注意，保障其中一者不該以損害另一者為代價。