【经验】如何在业务和安全中取得平衡

从过往的经验来看，在信息安全“落地”之初，往往能和业务保持短暂的平衡。但随着业务需求的倾斜，加上安全事件数量降低，会逐渐导致例外事件不断增加，破坏原有的安全机制。即业务会不断的将平衡点拉向自己这一端。比较典型的例子便是上网行为管理，初始设置的上网规则总会有例外的要求出现，高管层批复的申请单也会让安全人员压力倍增，然而特批的例外长年累月出现，从而一点一滴的破坏原有体系，产生破窗效应。

应对例外事件的挑战，信息安全人员必须要换位思考。当我们的业务提出影响安全的例外请求时，其背后真正的需求是什么？这就要求我们的信息安全人员不仅要理解技术体系，更要清楚业务的流程，明确客户的需求，从实际出发理解例外的请求，并提出解决业务用户真正需求的解决方案。进一步保障信息安全措施的落地，维持住平衡。

实践证明，传统的使用信息安全参数的方式无法体现信息安全的价值。传统上衡量一个成熟的IT体制下信息安全效果的核心指标有两个，漏洞数和安全事件数。一般认为，假如这两个指标趋于收敛，就可以认为信息安全运营的较好。BUT（人生怕的就是BUT！）漏洞数和安全事件逐渐趋于收敛也有可能是运气好或者挖洞能力的降低。单纯的使用这两个指标作为安全的标准确实说服力不足。

基于这种考虑和局限，从被保护的对象或被窃取的对象出发，理解信息安全为企业提供的价值，我们认为目前最有效的手段之一是模拟黑客测试.……没错，有时候真相就是这么简单！渗透测试能力是每个白帽子的基础，假如企业花费了大量资金建立了SIEM、SOC、IAM, 建立了相应机制和加密机制，他们究竟怎么工作，产生了什么效果，找到测试的尺子至关重要。这里需要指出，看似没有特别之处的渗透测试，分析渗透测试输出结果并将结果量化为可供衡量信息安全价值的尺子，则是需要长期运营的细致工作。分析每次渗透测试的目标，模拟的场景，取得的效果，不仅仅是技术工作，也需要大量的业务人员投入。

FROM赛博南：可以了喔，再说就要收费了喔~-~

业务部门认识到安全的价值，在日常工作中植入安全意识，是信息安全的基础。俗话说，“基线再牢固，也怕社工库”。没有信息安全意识作为基础，对于业务与安全间的平衡破坏是加速式的。培育信息安全意识是一项长期且细致的任务。通过购买培训服务、建立培训系统、实施培训、检测培训效果、建立责任机制、最终形成威慑力这个过程大家都可以理解，这里就不赘述了，只是需要强调一下。

设置业务中不可触碰的底线是保证平衡点的一个重要砝码，也是帮助信息安全人员理解平衡，不破坏平衡的重要手段。在实施管理层，尤其是高级管理人员的业务战略时，不可避免会出现一些有即使存在信息安全风险也必须要执行的业务流程。如果经过严格论证之后，管理层认为该业务流程必须执行，且承担暴露的风险。那么作为安全人员，也应严守业务底线。当然做好重大事故事后应对的准备也是必须的了。