面对AI挑战和动态环境,CISO需从传统集中式安全转向联邦式治理。该模型将安全职责下放业务,实现敏捷、可扩展和情境感知,是应对AI攻击面、提升投资回报率的关键转变。
译自:The one structural shift CISOs must make before AI outpaces their security strategy
作者:Josh Lemos
企业首席信息安全官(CISO)正处于十字路口。
他们的预算增长不够快,人工智能正在吞噬每一份企业数据,而首席信息安全官负责的软件环境也变得日益多样化和动态化。
更糟糕的是:这些问题无法通过雇佣更多人、购买更多工具或加班来解决。传统的集中式安全模型不再适用。相反,CISO 现在必须将这些安全模型分发给业务负责人,他们最接近风险出现的地方。简而言之,CISO 需要采用联邦式安全治理模式。
好消息是,通过联邦式方法,CISO 可以制定企业范围内的政策和风险战略,而数据所有者和技术团队则负责其业务单元内部的安全实施。这既实现了集中治理,又确保了政策的高效实施。
联邦式方法带来敏捷性和可扩展性
传统的安全模型要求 CISO 成为各种业务单元和职能的专家,每个单元和职能都有其自身的挑战。数据保护要求、地方法规和行业特定合规性在不同业务单元和运营实体之间可能差异很大。
“我看到过组织在处理这种更分散的安全方法时遇到困难。如果一个企业已经存在筒仓林立、僵化以及自上而下的命令与控制文化,那么联邦式方法将不会容易。”
相比之下,联邦式模型假定业务单元负责人最了解其单元的细微之处。通过建立正确的框架,他们的专业知识有助于他们实施适合其特定情境的安全策略。
通过联邦式方法,组织可以立即实现三个强大的好处:
- 情境感知安全最小化摩擦。 在联邦式模型中,安全决策发生得更快,因为它们更接近实际行动。当一个产品团队想要部署一个新的面向客户的 API 时,他们不必等待三周进行安全审查。团队的安全负责人,由于已经了解数据模型和合规要求,可以在 48 小时内批准它。
- 灵活的政策加速技术采用。 当治理是联邦式时,CISO 可以为技术采用建立广泛的组织标准,而他们在业务中的技术合作伙伴则负责实施。如今,集中式方法可能意味着完全禁止 Claude 代码,因为它可能暴露专有数据。在联邦式模型中,CISO 制定一项政策,规定 AI 工具不得传输包含客户或受管制数据的代码,然后业务单元可以实施适当的控制措施。
- 可扩展安全适应组织增长。 收购、新产品发布和地域扩张都会增加集中式安全团队的压力。例如,扩展到欧洲意味着他们必须成为 GDPR、当地数据法律和区域云基础设施的专家。在联邦式模型中,CISO 将制定全球数据分类和保护标准,而区域 IT 负责人则实施适合其当地的控制措施。这使得业务单元能够更快地行动,同时保持一致的安全态势。
当联邦式方法面临挑战时
我看到过组织在处理这种更分散的安全方法时遇到困难。如果一个企业已经存在筒仓林立、僵化以及自上而下的命令与控制文化,那么联邦式方法将不会容易。
这种转变需要一种共享所有权的新思维模式。安全负责人必须与业务单元的同行作为平级合作,以确保新政策和框架的顺利采用。标准和政策应考虑现代技术栈的现实情况,而不是仅仅试图强制它们合规。
在实践中,这可能很像 Netflix 的安全团队通过其“铺平道路”理念所做的事情。该团队通过让安全选项成为开发人员最容易采纳的选项,成功实现了政策的采用。
在工程领域之外,组织范围内的标准需要提供灵活性。避免使标准过于具体,以帮助它们对每个业务单元保持相关性。业务单元合作伙伴可以确保控制结构与其数据分类和组织的整体政策相适应。建立自助式风险例外流程也可以简化各单元处理特殊情况的方式,同时仍考虑风险和影响。
做到这一切,安全将不会不必要地阻碍业务单元的职能。相反,它将加速技术采用,并帮助各单元更快、更有效地实现其业务目标。
联邦式方法的投资回报率
高管层和董事会将继续根据安全投资在抵消风险同时推进组织业务目标方面的能力来评估它们。CISO 在 2026 年及以后交付投资回报率和减轻风险的压力将依然巨大。联邦式方法使他们能够更有效地交付业务成果,同时对组织风险采取更广阔的视角。
对新方法的需求迫在眉睫。AI 系统正变得日益自主和互联,创造了一个巨大且不断增长的攻击面。许多这些 AI 系统已经远远超出了任何集中式团队有效治理的能力。在这种环境下,联邦式方法是网络安全必需品。
联邦式方法还将改变企业如何组织、预算和执行安全计划。对于大型复杂组织而言,战略优势将取决于他们如何快速采用联邦式方法并拥抱更具协作性、分布式安全文化。没有它,他们的安全团队将仍然是一个瓶颈。有了联邦式方法,他们将在这个复杂多样化的环境中蓬勃发展。
