BISO：让安全成就业务，让业务造就安全

辛格自称是业务信息安全的合作伙伴，在其安全职业生涯中，她最常用的头衔和职称就是业务信息安全官（BISO）。辛格表示，一路走来，她始终在艰难的项目中茁壮成长，她拥有信息系统管理理学士学位和国际商务副学士学位，目前在医疗器械公司美敦力里管理着四个基础业务部门，她之下有个业务信息安全联络团队，他们的口号是：“将安全成就业务，将业务造就安全。”

据辛格介绍，“担任BISO”的人员通常会负责一个或多个业务领域，在日常工作中，他们会根据公司业务模式、业务具体项目、业务运作过程的不同，向CISO或CTO报告关于安全、IT 等内容。这些BISO人员来自社会各个层面，他们具备不同的教育背景和行业经验，但其核心是要对合规法规的有着成熟的解读，在网络安全上要有扎实的基础学识，并且还需具有一定的商业头脑。

辛格说：“大学毕业后，由于当时安全工作岗位稀缺，所以我去了一家能源初创公司，从零开始学习了如何构建计算机、管理服务和数据库等IT体系，以及其他关于安全运营的工作。这份工作之后，我在一家美国100强的审计和会计事务所就职，并在此间逐步过渡到了IT审计，也接受了许多辅导和培训，在那里我学到了许多基于项目的工作。”

作为美国前100强的咨询公司，咨询工作只是其中的一部分，辛格还负责审计了关于GLBA、PCI和SAS 70审计的金融机构。这之后，辛格开始为一家大型医疗IT服务集团工作，在那里她开始关注起政府的合规性，而目前来说，辛格就职于美敦力公司，她也是在美敦力的工作期间塑造了BISO角色。对于BISO，辛格特地取消了“官员”的头衔，chief（首席）的称呼不够具体、特指，所以她自称为商业信息安全合作伙伴，她知道自己需要解决的是，许多大型组织里安全部门和业务部门之间的沟通问题。

辛格解释道：“BISO是我自创的，它并不是企业中本就存在的职位，是我根据自己的工作特性去命名的，我感觉它和CISO的工作职责更相符，所以我一开始就把自己纳入到了安全职能部门，并尽可能地参加每一次团队会议，学习安全部门的文化和工作流程，这样他们就可以把我视为安全团队值得信赖的部门延伸。”

如此，当辛格需要指导利益相关者完成网络安全流程或为他人争取业务倡议优先级时，她的提案得到了广泛的欢迎和使用，此外她还为企业建立了报告和合规的风险仪表板，其中包括第三方供应商风险、合规风险以及并购风险。有了这些作为基础，辛格就能够在公司各业务部门里复制仪表板并应用下去。

两年前，辛格将她的项目扩展至四个独立的业务部门，她现有的团队中有五位BISO可受她支配，他们与各自的业务经理、IT副总裁以及其他领导人合作，这些BISO可将他们的安全、风险和合规专业知识带到业务层面中，并为业务保驾护航。

辛格表示：“我认为每个CISO都应该是BISO，或至少拥有BISO。在一些小企业中，CISO变成BISO是有可能的，因为业务的规模和局限性使CISO的关注点会有所聚焦，也就是不需要管理其他更多的安全工作。但在一些大型企业或组织里，CISO通常无法触及到企业的每个业务部门，他们根本没有时间对每个项目都进行安全教育和沟通，这些阻碍是很常见的，而且至今未被解决。因此，若CISO之下能有几名BISO助其在安全和业务之间构建桥梁，便能有效维持安全和业务间的合作关系，不同于一般的安全人员，BISO的立场是纯粹基于安全和业务间的关系，所以他们更多需要了解安全概念和他们所涉及的业务。”

另一方面，国外安全专家Renee Guttmann曾担任过多家美国50强公司的CISO，她表示，对BISO来说最重要的是得彻底了解他们所支持的业务部门，其中包括确定公司最重要的资产是什么，这些资产通常在哪里出现，以及这些资产可能受到的攻击、风险是什么。

Guttmann认为，BISO要能准确地识别风险，并在与其他人（如安全架构师和基础设施经理）合作的基础上，要能够确定风险的优先级。当一个业务部门想要启动新的技术项目时，BISO对此要当仁不让，尽早参与其中，以确保新技术不会使企业业务暴露在各种风险和攻击中。

Guttmann说：“如果BISO职位被确定，并出现在招聘网站里，企业对此职位的工作描述该是这样的：‘BISO是面向客户的安全人员’。企业必须确保所雇佣的BISO在他们所负责的业务团队里拥有相关知识，比如BISO若负责和财务对接，那他们就得了解资产负债表、审计规则、风险和控制。此外，业务部门的负责人必须参与BISO的面试和招聘，因为BISO和业务部门是息息相关的。”

在某案例中，Guttmann介绍了她所雇佣的一名拥有“in-the-trenches”技能的BISO，这名BISO为企业的业务部门做了培训，并告诉业务部门该如何正确应对安全事件，业务部门对此反馈，他们在培训后才知道自己业务中的风险有多大，安全有多重要，随后这名BISO还打开了业务部门的思维方式，帮助业务部门了解到他们在工作中的实际期望。Guttmann说：“企业大多数部门的员工都参加了这场培训，之后几乎每个人都回信说，这是他们参加过最吸引人的会议之一，他们从中学到了很多知识，而且这些知识并不是脱离工作内容，离他们十分遥远的，而是和他们的实际业务完全吻合的，他们因此受益匪浅。”

此外，BISO还要学会如何对可能存在危险的项目施加压力。在另一个案例中，Guttmann回忆道：“有一次，客户想要安装某个远程访问程序，但此程序仅通过弱密码就能访问到关键任务数据库，而我手下的BISO未能向业务部门解释清楚他们无法使用现有技术实现这一点，需要更安全的选项才能确保企业不出问题，比如多因素认证，因此部门之间的沟通问题就这么产生了，因为业务部门不了解技术。这之后，我开始为我的BISO提供了相应的培训，我得让他们知道该如何进行这种部门之间艰难的对话，以及该如何为业务部门提供额外的选择。”

根据Guttmann的经验，大多数公司里的BISO会直接向CISO汇报工作内容，其中包括了业务相关的工作，有时BISO也会向CTO汇报，而其他一些BISO会直接向业务部门负责人汇报。

而无论报告内容如何，这一角色对于安全工作都非常重要，网络安全社区（WiCyS）有一个专门的WiCyS BISO分支机构，其内有95名成员。WiCyS BISO分支机构的领导者Barbee Mooneyhan将BISO相关的体系、结构、方法，一并融入进了她管理企业安全的政策里。

Guttmann有着许多职称，因为她的公司规模比较小，而且她所在公司的主营业务是AI聊天机器人，此机器人服务于人们的心理健康，用户可与机器人互动，对话、读书、歌舞动作，功能非常齐全，机器人可帮助人们改善轻度到中度的焦虑和抑郁。而由于产品具备这样的敏感性，Guttmann就需要在保护用户敏感数据的同时继续创新，因此她与其他业务部门领导沟通产品发展时，会基于基本的道德和严格的合规性，尤其是当他们提出的新设计可能会影响到敏感数据的运用时，整个公司都会对其重视起来。

Guttmann说：“我会有意在我自己的安全角色中扮演BISO，这在中小型企业中很常见。我会花很多时间与我们企业的业务部门负责人、公司高层以及其他相关的员工会面，主要以了解他们的需求为沟通目的，并会为他们提供满足隐私法和道德义务的指导和方针。我认为，BISO角色是一个迷人的、必要的职位，因为他们能使企业向前发展。”

国内安全专家沈勇曾说，对安全人员而言，业务安全是安全人员所需保护的目标，这目标一定要清晰，一定要详细理解；其次，企业产出的评价需要从业务价值的角度出发，因此熟悉业务对安全人员来说非常重要。

而等级保护资深专家毕马宁也曾在CSO的课程里提到，安全一定为了企业的业务而存在，这就是保驾护航的作用，安全本身不是船只，业务才是船只，所以安全的目的就是为了保护船只顺利航行。这些业内所达成的共识，从来都是安全人员的指路明灯，让安全人员知晓自己在企业中的角色是什么，而在数字化飞速转型的时代下，安全角色需要更细化，职责需要更明确，因此BISO才会应运而生。

BISO的存在直接将安全和业务之间的现实意义点明，其填补了纯安全、纯技术和业务之间的隔阂，减少了因背景、环境不同而带来的沟通成本，是安全的衍生，也是业务上更为贴合的保障。只不过就国内现状而言，在人才的选择上存在一定的挑战，因为安全上的合规、技术始终是硬实力，而各行各业的业务又天差地别，所以要找到适合自己企业的BISO并不容易。

但好在大环境下，数字进程在加快，国家政策在支持，越来越多的领域在跟进安全的步伐，在这样的推动下，大量的人才会进入市场，到时安全部门的划分、安全在企业的地位一定会水涨船高，那么BISO这样的新型职位也会逐渐映入人们的眼帘。

关于BISO这样的职位在现阶段需不需要，或说在未来会不会成为趋势，国内安全专家如此建议。

某金融企业安全专家李泽帮认为，尽管他非常认可BISO这个理念，但他觉得并不需要。首先，正如前文所言，BISO的工作职责是负责业务领域的同时上报安全和IT问题，不难看出，现在的安全治理趋势应该是在逐渐强调CISO要重视对业务的理解。“再者，于如今的IT治理上，已有了CIO、CTO、CISO……等等一系列安全相关的职位，窃以为将一个概念较为模糊和重叠的职责单独赋予一个职位，会使组织架构变得更为臃肿，降低沟通效率。”

因此，李泽帮认为，站在企业的角度上，与其增加一个职位提升成本，不如说应该要员工“拥有BISO的思想”，更何况这本身就应该是员工的职责。通俗点说就是：“每个人都应该是‘BISO’。”

除此之外，李泽帮提出，铠甲如果没有穿在身上，也不过是一个铁壳罢了。他说，作为企业员工，首先应该熟悉的就是公司的业务。业务是公司的立足之本，也就是根基。所有的运营、开发、运维、安全等都是围绕着业务的运转来运转。

“传统的安全人员或者在某个领域上钻研的安全研究员都很容易忽略业务的重要性。他们常常因为发现漏洞、不安全的配置，就张罗着‘配置修复’、‘打补丁’等，全然不顾其他涉及部门的看法，而其中最大的误区就是：‘业务是业务部门该管理的事情，我只负责安全。’”

李泽帮表示，这种思想反而会导致内部的矛盾不断激发，安全和业务相互独立进行，业务的开发越来越不顾安全左移，而安全也越来越多地陷入“被害妄想”……而这或许是大部分企业的通病。

李泽帮指出，想要真正把安全运营做好，必不可少的就是对业务的理解，了解业务盈利的模式，梳理好业务所需的服务、端口、应用、数据库、操作系统、网络……在做好安全的基础之上，考虑如何通过安全建设来促进业务发展！

“这种想法并不是不能实现，举个近期我做过的优化案例：为了处理官网大量的敏感文件扫描、目录扫描，起先按照惯性思维我是想做WAF规则字典的优化去拦截，但实际上治标不治本。而后我选择导出每日WEB站点的400状态码日志，做成定时报表，给网站管理员订阅，一来可以协同管理员一起分析扫描攻击的模式（URL、源IP、次数、请求方法、状态码、时间）；二来又可以让管理员检查是否有过期或无效资源未处理导致400状态码日志产生，优化网站体验；三来有些管理员不懂得如何在服务器上使用脚本过滤日志的，就可以依托报表进行查询；四来重保时期可以通过报表进行自动化封堵IP……如此便既能在保证安全的前提下，优化业务，给公司带来效益。”

最后李泽帮说到，具体问题该具体分析，大家还是以实际出发，去寻找最适合自己环境的实践方法。

某金融企业安全专家覃阳青也同意“不需要”的观点，他说安全本身就是一个高投入且产出不明确的部门，设置一个专门的BISO职位会存在一定人工成本浪费的情况。此外，对于BISO职位的要求也应该是即能精通行业，甚至精通企业自身的业务特点，又能对信息安全方面有着足够、全面的理解，所以很显然，此类人员非常难找，而且新招人员的培养也需要时间。相对于设立BISO的岗位，个人更倾向于以安全BP的形式呈现在公司里。

此外，覃阳青认为，安全人员一定要理解业务，了解业务的大致流程、工作环境等。安全工作的最终目标就是保障业务的稳定开展，如果安全人员对业务不了解，那安全的工作规划就会是闭门造车，所开展的安全工作也就失去了意义。

在此基础上，某证券安全专家何文杰指出，对大型集团或对网络安全敏感的企业来说，建议在业务部门设置一个安全BP，负责该部门的风险识别、协助并指引实施安全策略，可以是一对多编制的bp，即1个安全人员对接几个业务部门，也可以是一对一编制的bp。同时，该安全人员需要持续了解业务特性，针对性提出安全方案，掌握较为全面的信息安全知识，具备良好的沟通能力和文案能力，懂得向上向下沟通技巧和思维。该岗位需要很强的综合性，需要具备较为广阔的职业发展上升空间。