【经验】如何在业务和安全中取得平衡

  • A+
所属分类:云安全

【经验】如何在业务和安全中取得平衡

遥想当初加入信息安全团队的第一天,懵懵懂懂地参加第一场专业培训,帅气的专家讲师用一张PPT简单扼要地阐述了信息安全理念中重要的一环——业务与安全之间的平衡。嗯,他说的好像很有道理,专业又精炼,PPT也很优雅,配色很棒……


但是在实际业务操作中,究竟什么是平衡?是怎么达到平衡?各个职能部门应该怎么做?参会的各位小伙伴内心都在呐喊着…


【经验】如何在业务和安全中取得平衡

对于信息安全咨询来说,论是体系搭建、基线加固还是数据防泄漏,在业务与安全之间的平衡永远是个无法避开的话题。开始时,我们天真地认为在确保业务顺畅运作和保证信息安全之间是存在着一种微妙平衡的。只要我们持续改进技术手段和管理方式,就能无限趋近平衡点,并且在某种程度上维持安全与业务之间的动态平衡。理想中随着业务而不断进化,信息安全体系也将持续为企业发展保驾护航……但是,现实和理想的差距总是让人想抛下眼前的苟且奔向诗和远方


【经验】如何在业务和安全中取得平衡

时光荏苒,岁月如梭,在经历无数个项目的洗礼之后,赛博团队对于信息安全与业务之间的平衡也有了一点新的认识。这里和大家分享下一些小小思考:


首先,业务和安全之间的平衡非常难达到的,这里的难点核心在于:安全体系无法跨越“破坏业务”这条底线。在现实中,保障业务的正常运营和信息系统的可用性是拥有绝对优先权的;

其次,除去专业的信息安全人员以外,其余员工包括管理层,难以理解传统的信息安全报告。一般报告中的信息安全数字,如防火墙阻塞了多少SQL注入,漏洞扫描扫出了多少个高危漏洞,并不能如销售数据一般直观的展示价值;

除此之外,应用安全面临的问题往往是事件性的,很可能在一年期间什么都不做,但是没有出现任何问题,但也可能某一年投入很大,但是安全问题频出。这也触及了一个极为重要的问题:即没有任何信息安全人员可以保证投入了资金就不出事故。这也导致安全的价值被进一步低估。


【经验】如何在业务和安全中取得平衡


作为信息安全的从业者,只有在清楚认识到上面这些不平等开始,才能真正意义上的开始讨论业务和安全之间的平衡值得庆幸的是,企业愈来愈重视其自身的信息安全,也为未来的平衡之路指出了一些方向。以下是我们的一些想法与大家分享:

换位思考:把流程的颗粒度不断深化,减少例外事件

从过往的经验来看,在信息安全“落地”之初,往往能和业务保持短暂的平衡。但随着业务需求的倾斜,加上安全事件数量降低,会逐渐导致例外事件不断增加,破坏原有的安全机制。即业务会不断的将平衡点拉向自己这一端。比较典型的例子便是上网行为管理,初始设置的上网规则总会有例外的要求出现,高管层批复的申请单也会让安全人员压力倍增,然而特批的例外长年累月出现,从而一点一滴的破坏原有体系,产生破窗效应。


应对例外事件的挑战,信息安全人员必须要换位思考。当我们的业务提出影响安全的例外请求时,其背后真正的需求是什么?这就要求我们的信息安全人员不仅要理解技术体系,更要清楚业务的流程,明确客户的需求,从实际出发理解例外的请求,并提出解决业务用户真正需求的解决方案。进一步保障信息安全措施的落地,维持住平衡。


找到正确的尺子,衡量信息安全的价值

实践证明,传统的使用信息安全参数的方式无法体现信息安全的价值。传统上衡量一个成熟的IT体制下信息安全效果的核心指标有两个,漏洞数和安全事件数。一般认为,假如这两个指标趋于收敛,就可以认为信息安全运营的较好。BUT(人生怕的就是BUT!)漏洞数和安全事件逐渐趋于收敛也有可能是运气好或者挖洞能力的降低。单纯的使用这两个指标作为安全的标准确实说服力不足。


基于这种考虑和局限,从被保护的对象或被窃取的对象出发,理解信息安全为企业提供的价值,我们认为目前最有效的手段之一是模拟黑客测试.……没错,有时候真相就是这么简单渗透测试能力是每个白帽子的基础,假如企业花费了大量资金建立了SIEM、SOC、IAM, 建立了相应机制和加密机制,他们究竟怎么工作,产生了什么效果,找到测试的尺子至关重要。这里需要指出,看似没有特别之处的渗透测试,分析渗透测试输出结果并将结果量化为可供衡量信息安全价值的尺子,则是需要长期运营的细致工作。分析每次渗透测试的目标,模拟的场景,取得的效果,不仅仅是技术工作,也需要大量的业务人员投入。


FROM赛博南:可以了喔,再说就要收费了喔~-~

【经验】如何在业务和安全中取得平衡

将安全意识植入日常

业务部门认识到安全的价值,在日常工作中植入安全意识,是信息安全的基础。俗话说,“基线再牢固,也怕社工库”。没有信息安全意识作为基础,对于业务与安全间的平衡破坏是加速式的。培育信息安全意识是一项长期且细致的任务。通过购买培训服务、建立培训系统、实施培训、检测培训效果、建立责任机制、最终形成威慑力这个过程大家都可以理解,这里就不赘述了,只是需要强调一下。


严守业务底线,保证正常运营

设置业务中不可触碰的底线是保证平衡点的一个重要砝码,也是帮助信息安全人员理解平衡,不破坏平衡的重要手段。在实施管理层,尤其是高级管理人员的业务战略时,不可避免会出现一些有即使存在信息安全风险也必须要执行的业务流程。如果经过严格论证之后,管理层认为该业务流程必须执行,且承担暴露的风险。那么作为安全人员,也应严守业务底线。当然做好重大事故事后应对的准备也是必须的了。


以上就是我们对于信息安全与业务的一些思考,抛砖引玉,欢迎大家在我们的公众号积极留言讨论!

【经验】如何在业务和安全中取得平衡





版权所有/赛博夫Jeff
小编/赛博克里斯,赛博慧

【经验】如何在业务和安全中取得平衡


本文始发于微信公众号(赛博星人):【经验】如何在业务和安全中取得平衡

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: