当今的企业首席信息安全官正站在一个关键的十字路口。一方面,安全预算的增长速度难以跟上日益复杂的技术环境;另一方面,人工智能正在以前所未有的速度处理和生成数据,使得软件环境愈发多样且充满动态性。
一个更严峻的现实是:这些问题无法仅仅通过增加人力、采购更多工具或依靠团队加班来解决。传统的集中式安全模型已经力不从心。面对这样的困境,CISO 们需要做出一个根本性的转变——将安全职责分发给距离风险更近的业务负责人。换言之,他们必须拥抱联邦式安全治理模式。
这种模式的优势在于,它允许 CISO 负责制定企业级的政策与风险战略,而具体的安全实施则由最了解业务细节的数据所有者与技术团队来执行。这既实现了宏观层面的集中治理,又确保了政策在微观层面的高效落地。
联邦式方法带来敏捷性和可扩展性
传统的集中式安全模型要求 CISO 团队成为公司内每一个业务单元和职能领域的专家,这几乎是不可能完成的任务。不同部门的数据保护要求、地方法规和行业合规性往往存在巨大差异,一个统一的标准很难满足所有需求。
相比之下,联邦式模型的核心假设是:业务单元的负责人最了解其业务的独特细节。CISO 团队只需建立一个清晰、稳固的框架,业务单元就能运用其专业知识,设计和实施最适合其特定场景的安全策略。
通过采用联邦式方法,组织能够立即获得三大显著优势:
-
情境感知安全最小化摩擦。 在联邦式模型中,安全决策发生在更接近实际行动的位置,因此速度更快。例如,当一个产品团队希望部署一个新的面向客户的 API 时,他们无需等待数周进行集中的安全审查。团队内部的安全负责人,由于熟悉业务数据模型和合规要求,完全可以在 48 小时内完成评估和批准。
-
灵活的政策加速技术采纳。 当治理权力下放后,CISO 可以专注于制定广泛的、原则性的技术采用标准,而具体的实施则由各业务单元的技术伙伴负责。例如,面对新兴的 AI 辅助编程工具,集中式管理可能因担心数据泄露而“一刀切”地禁止使用。而在联邦式模型下,CISO 可以制定一条政策:“AI 工具不得传输包含客户数据或受管制数据的代码”,然后由各业务单元根据自身情况,去设计和落实相应的控制措施。
-
可扩展的安全适应组织增长。 公司的收购、新产品发布或地域扩张都会给集中式安全团队带来巨大压力。例如,将业务拓展至欧洲,就意味着安全团队必须迅速成为 GDPR、当地数据法和区域云基础设施的专家。在联邦式模型中,CISO 可以制定全球统一的数据分类和保护标准,而具体的落地控制措施则由熟悉当地法规的区域 IT 负责人来实施。这不仅让业务单元能够更快地行动,也确保了整个组织安全态势的一致性。
当联邦式方法面临挑战时
当然,向这种更分散的安全治理模式转变并非易事。我见过不少组织在此过程中遇到困难。如果一个企业本就存在严重的部门壁垒、僵化的流程以及自上而下的命令与控制文化,那么推行联邦式方法将会面临重重阻力。
成功的转变需要一种全新的思维模式——共享所有权。安全负责人必须放下“监管者”的身份,以合作伙伴的姿态与业务单元的同事平等协作,共同推动新政策和框架的顺利落地。制定的标准和政策必须考虑到现代技术栈的实际运作方式,而不是生硬地要求业务去“适应”安全。
在实践中,这很像 Netflix 安全团队所倡导的“铺平道路”理念。该团队并不强制推行安全规定,而是通过提供易用、高效的安全工具和方案,让安全选项成为开发人员在完成工作时最自然、最便捷的选择,从而成功实现了安全政策的广泛采纳。
在工程领域之外,企业级的标准需要保持一定的灵活性和抽象度,避免规定得过细,以确保它们对每一个独特的业务单元都具有实际指导意义。业务单元的合作伙伴可以确保具体的控制措施与其数据分类的实际情况以及组织的整体政策保持一致。此外,建立一个自助式的风险例外处理流程,也能帮助各单元在应对特殊情况时更加顺畅,同时依然能够清晰地评估和记录相关的风险与影响。
当这一切都就位时,安全将不再是不必要的业务阻碍。相反,它会成为加速技术采纳、帮助各业务单元更快速、更高效地实现其商业目标的催化剂。这种治理思路的转变,也是现代安全/渗透/逆向实践中越来越强调的与业务融合的理念。
联邦式方法的投资回报率
高管层和董事会评估安全投资时,始终关注其在抵消风险的同时,能否推动组织的业务目标。在 2026 年及以后,CISO 们交付投资回报率和减轻风险的压力只会越来越大。联邦式方法使他们能够更有效地交付业务成果,同时以更广阔的视角审视和管理组织层面的风险。
对新方法的需求已经迫在眉睫。AI 系统正变得日益自主和互联,这创造了一个巨大且仍在不断扩大的攻击面。许多这类 AI 系统的复杂性和运行范围,已经远远超出了任何集中式团队能够有效治理的能力。在这种环境下,向联邦式治理转型已经从一个可选项变成了网络安全的必需品。
联邦式方法也将从根本上改变企业在安全领域的组织方式、预算分配和执行计划。对于大型复杂组织而言,未来的战略优势将取决于他们多快能够采纳联邦式方法,并拥抱一种更具协作性、更分布式的安全文化。如果不这么做,他们的安全团队将继续成为业务发展的瓶颈。而一旦成功转型,他们就能在这个复杂多变的技术与商业环境中蓬勃发展。
引用链接
[1] The one structural shift CISOs must make before AI outpaces their security strategy: https://thenewstack.io/federate-security-gitlab/
[2] “铺平道路”理念: https://netflixtechblog.com/the-show-must-go_on-securing-netflix-studios-at-scale-19b801c86479
发表于 2026-2-13 05:53:33
|
查看: 25|
回复: 0
