在企业粗放式发展初期,甚至是进入大企业行列,信息安全也可能根本就不会进入CTO的思考范围,更别说CEO级别的管理层了。当然这两年情况好多了,在网络安全法颁发、中央网信委成立后,CEO级别的管理层公开支持网络安全工作必然是政治上正确的事,但这也不一定能成为你开展信息安全工作坚强后盾。笔者以为,信息安全工作最坚强的后盾应该是数据中心老大或CTO类的人员,因为信息安全事件最大的受害者可能是他们,出现重大信息安全事件最可能履责者也较大可能是他们。因此,从某种程度上说,我们和数据中心老大或CTO类老大对安全的诉求是一致的,我们要紧紧跟随在他们周围,适当利用他们的权力和影响力把一些信息安全诉求传递出去。但是,我们也不能什么事都往CTO那里转,如果这样,要你信息安全部干什么?有些事能控制风险就本级解决吧。这里就有个问题,哪些事是需要上升到CTO级别人员解决的呢?需要各位CSO们自己考虑掌握了。
虽然信息安全占据了一定的政策利好以及领导支持优势,但是,人少要求多是不可忽视的基本事实,因此,这就要求信息安全团队需在企业内部找到同盟军,以应对更加突出的安全风险。一般来说,基础设施部门是一个不错的同盟军选择,比如网络团队、云管平台团队、主机系统团队等。
主要原因有:
(一)基础设施规模庞大,整改难度大,盲目把他们作为主要治理对象可能会很难出成绩;
(二)信息安全基础设施的很多建设需要依赖基础设施部门支持,比如流量采集、监控节点部署、主机申请、网络策略开通等。
(三)基础设施大部分都不会直接对外,风险等级不会太高,反观应用安全确是当前风险等级最高、安全管理最急迫的领域。通过团结同盟军,一起把应用开发安全管理好,在此之中,再逐步对基础设施部门提一些容易整改的安全需求,毕竟也是一个战壕里的战友,基础设施部门估计也不好意思拒绝。当然,各个单位遇到的突出矛盾和情况也存在很大差别,寻找什么样的同盟军需要自己斟酌考虑。
虽然企业安全团队可能怀抱伟大理想,团队初建可能意气风发,踌躇满志,想尽快把企业安全防护水平整体提高一个台阶,但是,对于系统、开发以及业务团队来说,企业安全建设与管理都是给人家添加工作量的事情,可能因为一个安全要求导致他们整个系统要返工重做,从思想上、意识上有一定的反抗情绪也是人之常情。因此,对于企业安全建设来说,最重要的工作是做调查研究,了解企业IT建设与安全管理现状,识别影响组织和企业最大的风险,然后再根据风险找出安全管理的牛鼻子方法,抓住安全风险的主要矛盾,这也是ROI平衡的一个具体方面,切不可能眉目胡子一把抓,事事都管,没有重点,把本就弱小的安全团队像撒芝麻一样撒到各个项目或事务中,不能团结一致干一件事,最后估计也难成一事。
Linux 的创始人 Linus Torvalds 在 2000-08-25 给linux-kernel 邮件列表的一封邮件提到的:Talk is cheap,Show me the code。在安全管理上依然适用,当我们像唐僧念经一样翻来覆去的提示风险,揭示风险,却没有任何”漏洞利用证明“,也不能拿出有效规避风险办法,对于企业里的其他人员来说,这些语言来说都是苍白无力,而且还会对信息安全部门产生无用论、能力不足论等思想。风险本来就是抽象的,把抽象的概念传达给企业内员工,我们只能用结果来说话,比如拿下系统控制权、下载了关键数据等。因此,我们要充分发挥自己的专业能力,利用渗透测试、众测、攻防演练去最大限度的发现及证明各类风险危害,用鲜活的事例来教育员工。
安全工作最大的两个动力:事件驱动和监管要求。内部安全事件不能经常发生吧,外部事件又总是有点隔靴搔痒之感,能说一说,但是很难转化为行动的动力。很多时候能说事就只有监管要求,但是我们也要注意不能拿着监管要求、安全体系等盲目要求按章办事、逐条落实,不考虑企业现状,这就会犯了本本主义和教条主义错误。比如,监管要求中要求:生产和测试网络要严格隔离。这一条用意当然是好的,但是要在企业内部有效实施肯定会面临较大的阻碍,例如,有些系统想运转起来就是要求能够实现测试和生产联通;有些系统在测试环境搭建测试系统成本很大等等,这时候都可会导致生产和测试不能完全隔离。此时,就需要安全部门具有问题具体分析,灵活对待,在不违反重大原则、导致重大风险的情况下可以适当的、有限度的开绿灯。
在企业的内部规章制度中,信息安全一般都会有一定的考核权和处罚权,也可能有些大领导的直接授权等,以此作为企业安全管理的尚方宝剑。但是,笔者想说的是,对于弱小且处于扩张中的团队来说,一定要慎用尚方宝剑,使用不当会导致我们提前树敌。虽然,我们本意和目的不是惩戒,主要目是提高安全意识。但是,我们应当明白,我们的处罚对于别人来说都会造成经济上、声誉上的损失,从而会对信息安全团队本身产生一定的逆反心理。同样,对于其他人员来说,这也会导致他们对信息安全团队产生一定隔阂,从此以后对信息安全管理不配合,或者表面支持、背地里敷衍、甚至使绊子,这些都会给信息安全工作带来较大的阻碍。但是,从长远看,考核权和处罚权仍然是我们推动信息安全工作的主要抓手。
现实场景中,有些乙方人员戏称甲方叫“甲方爸爸”,这是一句玩笑话,其实甲方合同才是他们真是的“甲方爸爸”,我们不过都是干活的。作为一个甲方安全人员,我们也应该明白,在业务高速发展和信息化程度越来越高的大背景下,甲方的安全人员在数量上、专业技能上还是与甲方的安全建设需求有一定的差距。那么这时候,乙方团队就是甲方信息安全建设力量的重要补充。很多方案设计、风险分析、技术实施都需要乙方人员的深度参与,毕竟他们在细分领域以及专业场景上,比我们甲方人员要见得多、识得广。作为甲方团队人员,我们要善于使用乙方团队,团结带领乙方团队快速高效地搭建起甲方的信息安全治理体系。
对于甲方来说,信息安全建设工作既是一个技术问题,但已经超越了技术问题,这里面牵涉了很多制衡、沟通、协调、妥协等方方面面的问题。作为甲方信息安全人员来说,在了解信息安全专业知识的时候,还应该多掌握一些战略战术层面的方法论,以让企业的信息安全工作能够更好的推广实施下去。
电脑桌面管控软件盘点:安全与便捷并存
你是不是时常感觉电脑桌面杂乱无章,找个文件像大海捞针,还总担心信息会泄露出去?别着急,今天咱就来好好聊聊那些兼顾安全与便捷的电脑桌面管控软件,它就好比你身边的私人超级英雄,既能帮你把电脑桌面打理得井然有序,又能全方位守护你的信息安全,让你工作、生活都顺顺利利。咱先来瞧瞧这些软件的技术闪光点。如果电脑桌面能像超市货架那样...
移动硬盘也能加密,教你简单设置密码的方法
你知道吗?每年因移动硬盘丢失造成的个人信息泄露案件超过10万起。前几天同事小张刚丢了存有客户资料的硬盘,急得差点报警。其实只要给硬盘加密,这些风险都能轻松化解。今天就教你几种简单又实用的加密方法,小白也能3分钟学会!一、系统自带加密:Windows和Mac都能这么做Windows用户可以试试BitLocker。把移动硬...
一分钟教你识别电脑监控软件的简单技巧
在如今这个信息如洪流般奔涌的时代,电脑早已成为我们工作、学习与娱乐不可或缺的亲密伙伴。然而,你或许有所不知,有时候,你的电脑可能正被一些 “不请自来” 的家伙 —— 监控软件,偷偷地窥视着。它们或许会在你毫无察觉之时,悄然收集你的个人信息,甚至对你的隐私与安全构成威胁。别慌,今天就来教你几个简单又实用的小妙招,只需一分...
IT资产管理解读:IT资产管理是干什么的?
在企业日常运营的忙碌节奏里,你或许常常听到 “IT 资产管理” 这个词。但你真的清楚它究竟意味着什么吗?是不是下意识觉得,它不过就是简单统计下电脑、软件数量,再记记账?要是这么想,可就大错特错啦!IT 资产管理,它可是企业迈向数字化转型征程中的得力伙伴,承担的任务远比你想象的复杂且关键。IT 资产管理,通俗来讲,就是对...
企业必备:终端安全管理系统的六大功能
在如今智能化高速发展的阶段,企业就像一艘在信息海洋里乘风破浪的巨轮,既追寻速度和效率,又保证出航的安全稳定。在这过程中,终端安全管理系统算得上是企业不可缺少的 “护航员”悄悄捍卫了企业信息安全界线,促进企业在波澜壮阔的数据浪潮中稳步前行。今日,让我们进一步探讨为什么公司需要配备一个强大的终端安全管理系统,它有哪些功能呢...