闲聊安全体系化建设

安全 应用安全
企业如何搞好安全体系化建设? 做为老板,业务,安全从业人员在这个问题的答案会是这样吗?

企业如何搞好安全体系化建设?

做为老板,业务,安全从业人员在这个问题的答案会是这样吗?

做为老板,积极关注安全事务,并提供相应的资源,包括钱,权,时间,关注安全人员成长,并给予极大的信任及期望;

做为业务人员,积极响应并紧密配合,将安全也加进KPI,把安全部门反馈来的问题都及时的处理,并和安全部门建立很好的战略合作关系;

而做为安全人员,利用安全运营平台及技术,识别及处理安全事件,能够为公司业务持续运营提供了保驾护航的安全能力输出,让老板能多多挣钱,自已也走上升职加薪的成功之路。

可事实上呢?

老板与高层并不关心所谓的安全体系化建议,或者说不关注安全,他关注的只是核心业务,资本运作以及更多公司远景方面的事物;

业务人员关心的是产品何时上线,产品如何得到市场的认可,如何转化成收益,对安全的态度是可以加入,但别影响我上线,线上有漏洞了,关我啥事?你管安全的又不是我管;

而安全人员呢,每天是救不完的火,打不完的口水仗,开不完的扯皮会,挖不完的洞,还要应对上面下面左面右面源源不断的质疑,哪有时间体系化?

[[338284]]

那怎么做呢?

笔者认为是让安全体系化建设产生价值;

做为安全的负责人有很大的责任,要知道公司高层的愿景,这样才能将就要把相应的工作重点转移到公司愿景上来,形成安全工作愿景,这就是常说的上下同欲,这样即能达成老板的目标,也可以发展相应的安全业务,何乐而不为?

安全体系建设,说到底就是形成一套有人管(安全管理),有术控(安全技术),日常有序(安全运营)的有效安全策略措施的集成体;

开展工作,首先要把合规工作做好,千万不要应付和敷衍;现在的网络安全法,网络安全等级保护条例,GDPR,SOX404,ICP年审,以及各部委的安全专项检查,如果出现问题,企业可能会造成很大的影响,这是老板关心的,这样你就会发现好多事都可以开展;

其它,安全基础工作做好,千万不要信有什么银弹,安全体系不是一下子就能做好的,要同时根据业务和安全愿景,通过安全事件进行推动,协调相应人员,将处理流程文档化,软件统一化,SDL埋点(与业务商量或者培训QA),人员培训计划等;也许当你完成了短期目标(1-2年),安全体系的雏形就已呈现了,后期再慢慢完善相应的模块,补充相应的安全防御产品及技术手段,相信在您的五年期目标,会形成有效的信息安全体系,提供给要保护的目标一个有效的纵深防御架构,而后就是优化,依据PDCA的模型,对安全策略和体系进行更新,调整及优化;

最后就是日常安全务处理,也就是笔者个人理解的安全运营,如果有真正的安全运营平台,将安全策略下发,流量监控,安全事件处理联动,安全风险预警等日常工作自动化处理,那么未来招聘的岗位可能会有安全平台策略分析师,以及可以什么也不懂的流水线专职的安全运营工程师了;

笔者认为,信息安全体系建设的价值是体现在公司上的,只有根据公司业务经过不断调优才是最好的;公司业务和发展阶段都不一致,相信每个安全从业人员在内心中也都有一个自认为最好的,最能体现自我价值的那个;

加油,奥力给!

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-07-13 11:26:16

信创安全

2024-07-05 09:24:11

2019-01-04 15:25:13

2020-04-08 10:41:25

Flutter阿里混合栈

2017-01-20 15:37:06

2020-04-03 09:40:34

阿里巴巴Flutter架构

2011-10-13 15:05:01

趋势科技广发银行

2019-07-01 12:55:05

安全体系架构网络安全企业安全

2022-09-13 11:40:49

智慧城市

2018-05-26 16:31:31

2023-09-21 12:09:50

2009-12-09 09:49:29

ibmdwWebSphere

2017-07-11 12:29:35

2023-09-25 15:39:14

2012-12-25 14:23:10

2020-02-07 09:32:08

数据安全数据资产管理安全风险

2019-07-31 07:57:14

零信任网络安全数据安全

2011-05-23 10:52:58

2022-05-13 11:24:09

数据美团
点赞
收藏

51CTO技术栈公众号