关于双模IT不得不说的那些事儿(二)

背景
《关于双模IT不得不说的那些事儿(一)》一文中,主要讲了双模IT的含义、挑战及必要性,文章(二)则会强调双模IT的部署方式、步骤和一些实操建议。

一、部署双模IT的4个步骤

双模IT井喷式的发展不是凭空造势,而是大势所趋。Gartner 2014年的CIO调查表明,40%受访CIO表示公司已经采用了双模IT,26%计划在未来三年内采用双模IT。可以预见,未来5-8年中双模IT将在企业中长期存在。

如果你的公司在考虑如何部署双模IT,不妨考虑如下4个步骤。

tn16abnb2pyekdzw_baj
步骤1、准备阶段

  • 学习双模IT:开展培训项目,避免纸上谈兵。如开设关于模态1&2的内涵、特点、主要区别、应用场景、影响等课程。
  • 培养敏捷思维,牢记双模IT的核心特征:双模IT已经/将会成为大多数IT企业的强制要求、模态1&2同等重要、安全部门要始终参与模态2项目、管理好包括安全债务在内的技术债务是决定模态2项目成败的关键因素等。
  • 评估企业当前态势,合理分配资源和预算。
  • 填补技术空白,如管理云端用户身份、使用敏捷开发或DevOps保障应用和数据安全、情景感知的安全监控、以人为核心的安全。

步骤2、构建阶段

  • 转变文化:消除IT项目经理和业务领导之间的不信任,参与模态2项目,同时确保模态1继续得到合理投资和关注。
  • 完善管理方法:提供敏捷性,同时确保业务经理承担起应负的责任。
  • 决策时考量风险因素:平衡技术风险和业务风险之间的关系,将可靠实践与新兴技术、方法结合起来。
  • 预算:准备模态2项目应急资金,同时投资双模安全。
  • 打造团队:团队中有人负责项目安全、有人处理不确定因素,如有必要可外聘。企业应培训模态2项目领导,开发人员要具备安全和风控意识,从始至终重视安全工作。

步骤3、管理阶段

通过管理模态2项目生命周期来管理安全债务(注:安全债务指的是早期实践或者投资延迟导致项目预期安全状态与实际安全状态之间的差距)。项目阶段不同,管理安全债务的方案也不同,详见表格1:

%e6%ad%a5%e9%aa%a43
表格1:项目阶段及管理方案

步骤4、优化阶段

本阶段强调通过双模安全项目实现效益最大化。CISO和风险管理领导应该说服公司不仅使用现有模态2项目,还要启动双模安全项目,方能抓住数字化商业时代下的发展机会。这要求CISO做到:

  • 获得双模安全项目赞助
  • 从小规模的自发性模态2项目开始试水
  • 启动模态2项目不必做好万全准备才开始,可以边实践边学习
  • 通过阶段性成功推动项目进程变化

二、实践建议

双模IT从小规模、自发性的模态2项目开始着手,同时考虑双模安全,避免安全债台高筑,影响后期项目扩展。

1、建议CISO

Gartner预计,到2019年,30%的CISO将会调整公司的风险管理实践,使之适应并支持双模IT。CISO和风险管理领导必须:

  • 打造专门的双模IT安全和风险管理团队,确保企业开始使用探索式的模态2时安全依然无忧。
  • 转变思维,提高风险容忍度,边学习双模IT边展开实践。
  • 推动跨团队、跨部门合作,获得安全和IT同行反馈,积极与他们交流意见。

2、建议企业业务做出改变

  • 改变资产管理和融资方法
  • 和公司高层讨论风险控制
  • 拓宽模态2选择标准并严格把控
  • 坚持所有团队参与项目进程中,安全团队角色不可忽视

3、建议IT做出改变

  • 更新IT评分
  • 增加模态2员工:导师、开发人员、招聘人员
  • 关注改变团队成员信念,让他们无需过分担心新工具和新方法的使用

2014年9月,银监会引发《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》,要求银行业金融机构应将提升网络安全保障能力和信息化建设能力,将安全可控信息技术应用纳入战略规划。

2016年7月15日,银监会印发《中国银行业信息科技“十三五”发展规划监管指导意见》,指出到“十三五”末期,面向互联网场景的重要信息系统全部迁移至云计算架构平台,其他系统迁移比例不低于60%。

这些措施和举措,彰显了信息安全在国家水平的重要性,也间接促进了安全厂商提高自身安全防护水平,加快网安市场发展。双模IT的项目成败与管理安全债务紧密相关,IT安全团队要随时注意新技术和新用例带来的数字化风险,保障企业安全。

发表评论

电子邮件地址不会被公开。 必填项已用*标注