看一家律师事务所如何利用安全驱动业务

对于面临所有外部威胁的企业而言，最困难的挑战也许是改变企业内部对网络安全的看法，和对安全团队所做工作的理解。

早在十八世纪中叶成立的律师事务所富而德，现在已经成为国际知名事务所，在全球拥有27个办事处，300个合作伙伴和超过4000名的员工。

一、把安全语言转化成业务语言

富而德CISO马克·沃姆斯利，带领着一个20人左右的安全团队，负责物理安全、供应商保障、网络设计、客户审计、事件响应、渗透测试、意识培训和隐私保护等工作。“人们通常认为，法律行业在安全方面落后于其他行业。但实际上，我们对安全技术跟得非常紧。与其他专业服务公司一样，律师事务所的现金流非常充沛，因此可以快速地做出合理的决策。”

沃姆斯利在转到IT部门之前是一名律师，现在成为了一位CISO。律师的经验和对业务的理解，对他的安全工作非常有利。“我非常幸运对两方面的工作都有经验。律师是非常讲究细节的人，你讲的任何事情都他都会去深究。所以，要计划好要讲什么，如何讲，关键信息是什么，并且简明扼要。”

理解律师的工作动力和最关心的事情是什么，安全团队才能更好的推广控制和技术，而不仅仅是强调降低公司风险。例如，使用安全机制良好的文档协同应用，不仅能够提升文档安全，还可以帮助律师的工作更加弹性，产生更多的潜在业务机会。

“只要你给律师们开始谈收入机会、客户，开始谈弹性，马上就吸引了他们的注意力，接下来很自然的就谈到了安全。把有关安全的谈话转化成收益和机会，尤其是从客户的角度去谈，效果截然不同，会真正的打动人心。”

二、把安全当做业务拓展的机会

安全团队可以利用自己的安全能力来拓展业务机会，比如匹配业内某个特定的标准来吸引客户。

“我们有一些汽车厂商客户，他们的安全控制是独有的，不被其他企业所知道和理解。如果我们能够接受其他律师事务所所不能接受的标准，就意味着这些汽车厂商会与我们有更多的业务合作。其实从内部来讲，这些厂商知道他们的风险所在，哪些安全控制是适用的。”

沃姆斯利指出，与合作伙伴和客户的安全团队对话是另一个拓展业务的机会。“律师有律师的对话，而安全团队则会谈风险函数这类的问题，这种具体的技术问题就不是律师能交流的了。于是他们就会给高层汇报富而德正在做这方面的事情，也就意味着我们能为客户提供更加重要的服务。在谈话中律师们会突然明白，他们并不了解风险函数方面的事情，因为大家工作的层面各有不同。”

“我们讨论安全，这就是我们与其他人不同的地方。”

三、作为供应商 涉及安全时要主动

供应链安全近年来受到很大的关注，攻击者通过第三方合作伙伴得以入侵目标，最知名的案例就是塔吉特因其供暧及空调供应商被黑的案例。从供应采购关系上来看，富立德律师事务所属于法律服务供应商。沃姆斯利表示，他非常渴望与公司客户的安全团队有着主动的联系。

“与其他行业一样，法律行业也会受到来自客户的审计压力。任何机构都有不足的地方，找到客户真正关心的事情和他们最可能提出的问题，提前做好准备，岂不是一件非常有意义的事吗？”

“没有什么比客户找到门上来更糟糕的事情了，我们来对你进行审计，我们知道一些你们自己都不知道的事情。”

“富立德的安全团队会在审计期前拿起电话，打给审计员问他们的关注范围是什么，担心哪些事情。大致上得到一个接近客户审计的基准，同时也给予我们一个机会，了解我们自己不知道的事情。当身份互换时，反之亦然。”

通过这些谈话，还可以知悉客户的战略发展方向。例如，如果客户表示高度关注自己的供应商，甚至是合作伙伴的供应商，那就意味着客户要着重加强自己的供应链管理流程，为下一次审计工作做准备。

“如果沟通工作做的到位，对方的审计员会说‘他们提前给我打了电话，他们理解我们所需的问题，并能够交付。如果我们今天就开始审计，也在他们的安全计划内’”一旦有了这种沟通效果，与客户之间就不再是审计关系，而是知识共享关系了。”

四、推动业务对安全的理解与责任

法律相关的领域正在经历快速数字化转型的过程。在律师事务所这个已经饱和的市场上，许多人都在借助各种数字化和机器学习技术以寻求自己的差异化。“在这个领域必须要创新，尤其是像毕马威、埃森哲、德勤这样的机构都开展法律服务了，我们也应该走进他们的领域。”

跟上并适应新技术环境带来的变化，CISO要考虑许多事情，如满足创新需求、管理遗留系统，同时还要降低小型安全团队的工作负担。沃姆斯利提出，尽量避免直接谈及某某新理念可以解决影子IT或是其他安全短板的问题，而要从安全对业务的责任来谈。

“当人们问，你能接受这个风险吗？我会说，不，虽然我们能做，但你必须为风险担负责任。你不能再沉默无关，你需要承担责任。如果发生不好的事情，是你会被列入解雇行列。”

“如果他们的确想做些什么，我们就能一起承担风险。如果他们走开，至少你能知道他们真得不需要或不想这样。”

富立德的安全团队，推动业务对安全的理解与责任。他们告诉业务部门日常的安全工作是怎样的，并向展示一手的安全操作。每天都有安全简报，包括威胁情报，外面发生的可能会与富立德相关的攻击活动，以及近期影响员工邮件的安全事件等。甚至，安全团队还把业务部门人员和合作伙伴拉到一起成立小组，来共同回顾安全简报和一手的威胁情报。

“时不时的有人就会出现在我们的报告里，有人发现一条情报，有人担心某员工离职。我们能够运行一个经允许的流程，然后给出针对某人的一手威胁报告，并能够指出他们的行为到现在为止是安全的，并可监控和追溯他们的行为活动。”

把安全的复杂性呈现出之后，富立德的领导们可以更好的了解这些挑战。“他们意识到，安全不是一个非此即彼的是非问题，不能简单的回答我们到底是安全的还是不安全的。安全就像下象棋，必须时刻移动棋子来确何最佳的防御状态。一旦你给人们呈现出威胁的复杂性，以及应对这些威胁所需的流程和操作的话，他们就会立刻转变，开始承担应有的责任。”

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。