![技术干货 | 互联网企业安全建设思路]( "技术干货 | 互联网企业安全建设思路")
本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
欢迎各位添加微信号:asj-jacky
加入安世加 交流群 和大佬们一起交流安全技术
通过前面几篇文章分别展开介绍了互联网企业面临的安全挑战、如何理解安全与业务的关系、互联网企业安全全局视角这三个话题。本篇文章来分享下互联网企业安全建设的思路,也就是如何来开展互联网企业安全建设工作这一话题。
互联网企业安全建设有一个基本原则,那就是要以目标导向,对安全工作的结果和效果负责。无论是安全规划、安全建设,还是安全效果评价,都应遵循这一原则。因为甲方安全团队存在的意义和价值在于保障企业业务的安全、健康发展。
在开展企业安全建设前先要搞清楚所在企业有哪些业务、数据和IT资产,并且能够区分出哪些核心业务、核心数据和核心IT资产,或者叫高价值业务、数据和IT资产。在企业中资源(人、财、物)总是有限的,为了保证安全效果和保持较高的投入产出比(ROI),安全建设要围绕企业的核心业务、核心数据和核心IT资产展开。从安全建设思路上来讲其实并没有什么特别之处。大体上可以分为挖掘安全需求、明确安全目标、安全规划和体系建设、安全运营、持续优化和完善这五个步骤。
挖掘安全需求时可以从确认对象和明确要点这两个方面入手:
挖掘安全需求的过程会涉及到大量的沟通、访谈工作,如果找到合适的人可能会事半功倍。这个过程中可以多找公司高层、兄弟部门(比如运维、研发、产品等团队)、业务部门(比如HR、市场、内审合规等团队)、安全团队的同事多聊聊。不同团队和角色的人看问题的视角和看到的问题都会不一样。聊的好通常会收到很多有价值的反馈。如果是刚到一家新公司从零开始安全建设,这个过程尤为重要。
友情提醒:要找别人沟通时,最好自己先提前准备好需要沟通的问题列表,这样会更高效,也会显得有逻辑。
通过挖掘安全需求这一阶段的工作要能够比较清晰、客观和全面的输出企业的业务特点、重点业务场景、面临的安全威胁、安全风险、安全挑战以及现有安全能力,还有公司对安全的期望和诉求有哪些。
基于上一阶段安全需求工作成果作为输入,可以设立企业的安全建设目标。安全建设是一个持续和系统化的工程,并不是一件列一个checklist做完就可以保证安全的事情。所以我们在设定安全目标时要区分长、中、短期目标。目标要合理(不要好高骛远)、清晰、可衡量/可评价,最好可以和公司的战略和业务目标结合起来(这一点还是比较难的),用公司高层可以听懂的语言(为啥?因为人家对安全建设需要的资源投入有最终决策权)把安全目标描述出来,并且对于安全目标的理解和需要的资源投入、时间周期要达成一致。否则在安全建设过程中很容易出问题。
安全需求有了,安全目标也明确了。为了达成安全目标,就需要有统一和明确的安全规划。安全规划为安全建设方向和落地路径提供指引,这个工作主要由安全负责人来完成。在保证安全规划方向和思路对的基础上通过体系化的安全建设把安全规划进行落地。
企业安全建设需要做的工作有很多,但安全团队的资源又是有限的,不太可能同时并行开展大量的安全工作,小型的安全团队更是如此,如果刚上来就把摊子铺的太大,结果很可能就是很多工作都做不好,做不深。所以在资源有限的情况一定要聚焦,要对做的安全工作区分紧急度和优先级,通过分阶段的安全建设逐步进行落地。
企业安全建设需要持续和足够的安全投入,在落地过程中还需要公司高层和兄弟部门的支持,这其中又涉及到了如何向上沟通,跨团队协作等问题。
外部环境在变,公司业务也在变,企业面临的安全威胁和风险也在变化。所以安全规划并不是制定后就要保持一成不变,也需要定期review和动态调整来更好的应对和解决安全问题。
安全规划有了,安全体系也建了,是不是就意味着安全工作可以结束了呢?
非也,安全圈有句老话,叫作“安全是一个整体,也是一个相对和动态的过程”,现在安全,不代表永远安全。因为一切都在变化当中。持续、有效的安全运营好比是身体的新陈代谢,可以保持企业安全体系的有效性和实现持续进化。
在安全运营中一定会发现大量问题和需要改进的地方,这也是非常正常的现象。最佳安全实践都是在实战中通过不断完善和沉淀逐渐形成,并不是规划出来的。实践出真知就是这个道理。
![技术干货 | 互联网企业安全建设思路]( "技术干货 | 互联网企业安全建设思路")
本文始发于微信公众号(安世加):技术干货 | 互联网企业安全建设思路
评论