閑聊安全體系化建設
企業如何搞好安全體系化建設?
做為老板,業務,安全從業人員在這個問題的答案會是這樣嗎?
做為老板,積極關注安全事務,并提供相應的資源,包括錢,權,時間,關注安全人員成長,并給予極大的信任及期望;
做為業務人員,積極響應并緊密配合,將安全也加進KPI,把安全部門反饋來的問題都及時的處理,并和安全部門建立很好的戰略合作關系;
而做為安全人員,利用安全運營平臺及技術,識別及處理安全事件,能夠為公司業務持續運營提供了保駕護航的安全能力輸出,讓老板能多多掙錢,自已也走上升職加薪的成功之路。
可事實上呢?
老板與高層并不關心所謂的安全體系化建議,或者說不關注安全,他關注的只是核心業務,資本運作以及更多公司遠景方面的事物;
業務人員關心的是產品何時上線,產品如何得到市場的認可,如何轉化成收益,對安全的態度是可以加入,但別影響我上線,線上有漏洞了,關我啥事?你管安全的又不是我管;
而安全人員呢,每天是救不完的火,打不完的口水仗,開不完的扯皮會,挖不完的洞,還要應對上面下面左面右面源源不斷的質疑,哪有時間體系化?
那怎么做呢?
筆者認為是讓安全體系化建設產生價值;
做為安全的負責人有很大的責任,要知道公司高層的愿景,這樣才能將就要把相應的工作重點轉移到公司愿景上來,形成安全工作愿景,這就是常說的上下同欲,這樣即能達成老板的目標,也可以發展相應的安全業務,何樂而不為?
安全體系建設,說到底就是形成一套有人管(安全管理),有術控(安全技術),日常有序(安全運營)的有效安全策略措施的集成體;
開展工作,首先要把合規工作做好,千萬不要應付和敷衍;現在的網絡安全法,網絡安全等級保護條例,GDPR,SOX404,ICP年審,以及各部委的安全專項檢查,如果出現問題,企業可能會造成很大的影響,這是老板關心的,這樣你就會發現好多事都可以開展;
其它,安全基礎工作做好,千萬不要信有什么銀彈,安全體系不是一下子就能做好的,要同時根據業務和安全愿景,通過安全事件進行推動,協調相應人員,將處理流程文檔化,軟件統一化,SDL埋點(與業務商量或者培訓QA),人員培訓計劃等;也許當你完成了短期目標(1-2年),安全體系的雛形就已呈現了,后期再慢慢完善相應的模塊,補充相應的安全防御產品及技術手段,相信在您的五年期目標,會形成有效的信息安全體系,提供給要保護的目標一個有效的縱深防御架構,而后就是優化,依據PDCA的模型,對安全策略和體系進行更新,調整及優化;
最后就是日常安全務處理,也就是筆者個人理解的安全運營,如果有真正的安全運營平臺,將安全策略下發,流量監控,安全事件處理聯動,安全風險預警等日常工作自動化處理,那么未來招聘的崗位可能會有安全平臺策略分析師,以及可以什么也不懂的流水線專職的安全運營工程師了;
筆者認為,信息安全體系建設的價值是體現在公司上的,只有根據公司業務經過不斷調優才是最好的;公司業務和發展階段都不一致,相信每個安全從業人員在內心中也都有一個自認為最好的,最能體現自我價值的那個;
加油,奧力給!
