从目前的情况来看,甲方安全团队在企业中的比例还很低。在企业安全建设中,大部分安全措施的落地都是由系统、业务和开发团队共同完成的。这个时候,对于安全团队来说,非常有必要关注安全工作的方法和方法,这样才能让企业的信息安全建设逐步走上正轨。这篇文章是我对企业信息安全建设方法论的一些思考。1、关注高层利益相关者在企业粗放式发展的初期,甚至进入大型企业行列,信息安全可能连CTO的思考范围都没有,更不用说CEO级别的管理层了。当然,在过去的两年里,情况已经有了很大的改善。网络安全法出台后,中央网信办成立,CEO级别的管理层公开支持网络安全工作肯定是政治正确的,但你发展信息安全未必就是正确的事情。工作的坚强后盾。笔者认为,信息安全工作最坚强的后盾应该是数据中心的老板或CTO,因为他们可能是信息安全事件的最大受害者,最有可能对重大信息安全事件负责。所以,在一定程度上,我们是符合数据中心老板或者CTO老板的安全诉求的。我们应该密切关注他们,适当利用他们的权力和影响,传递一些信息安全诉求。但是,我们不能把所有事情都交给CTO。如果是这样的话,你希望你的信息安全部门做什么?如果有些事情可以控制风险,那就在这个层面解决吧。这里有个问题,哪些事情需要CTO级别的人员来解决?需要CSO自己去思考和掌握。2、团结盟军虽然信息安全具有一定的政策优惠和领导支持优势,但人少要求多是不容忽视的基本事实。因此,这就需要信息安全团队在企业内部寻找盟友,共同应对更加突出的安全风险。一般来说,基础设施部门是盟友不错的选择,比如网络团队、云管理平台团队、主机系统团队等。主要原因有以下几点:(1)基础设施规模庞大,很难纠正它。一味以他们为主要治理对象,可能难以取得成效;(2)信息安全基础设施的很多建设都需要依靠基础设施部门的支持,如流量采集、监控节点部署、主机应用、网络策略激活等。(3)大部分基础设施不会直接暴露,而且风险等级不会太高。另一方面,应用安全确实是风险等级最高、安全管理最紧迫的领域。通过联合盟军,我们可以共同管理应用程序开发的安全性。在这个过程中,我们会逐步向基建部门提出一些容易整改的安全要求。毕竟我们也是战壕里的战友,基建部门可能不好意思拒绝。当然,每个单位遇到的突出矛盾和情况也大不相同,需要考虑找什么样的盟友。3.抓住主要矛盾。企业安全团队虽然可能有着远大的理想,但团队在刚成立之初可能意气风发、志存高远,希望尽快将企业的整体安全防护水平提升到更高的水平。但是,对于系统、开发和业务团队来说,企业的安全建设和管理是一件给别人增加工作量的事情。可能是由于安全要求,他们的整个系统必须重新设计和重做。从思想意识上来说,有一定的阻力也是很自然的。因此,对于企业的安全建设,最重要的工作就是调研,了解企业IT建设和安全管理的现状,找出影响组织和企业的最大风险,进而找出正确的安全管理方法。根据风险,抓住安全风险的主要矛盾,也是ROI平衡的一个具体方面。不可能一口气把所有事情都抓起来,没有重点,把本就薄弱的安全团队像芝麻一样撒到各个项目或事务中去。如果大家齐心协力去做一件事,估计最后也很难做到。4.与可证明的风险交谈Linux的创始人LinusTorvalds在2000-08-25给linux-kernel邮件列表的一封电子邮件中提到:Talkischeap,Showmethecode。它仍然适用于安全管理。当我们像唐僧念经一样一遍又一遍地提醒和揭示风险,却没有任何“漏洞利用证明”,想不出有效的方法来规避风险。对于企业的其他人员来说,这些话是苍白无力的,也会对信息安全部门产生无用、能力不足等想法。风险本质上是抽象的。向企业员工传达抽象的概念,只能用结果说话,比如系统控制权下线、关键数据下载等。因此,我们要充分发挥专业能力,通过渗透测试、众测、攻防演练等方式,最大限度地发现和证明各种风险隐患,用生动的例子教育员工。5、不可书卷气。安全工作的两个最大驱动力:事件驱动和法规要求。内部安全事件不可能经常发生,外部事件总是让人抓狂。你可以谈论它,但很难把它变成行动的动力。很多时候,能说的只有监管要求,但也要注意,不要一味的按照监管要求和安全体系的要求,一味地一一执行,不考虑企业的现状。企业,这将犯书本主义和教条主义的错误。例如,监管要求要求生产和测试网络严格隔离。这篇文章的立意当然是好的,但是在企业内部的有效实施肯定会面临更大的障碍。例如,一些系统如果要运行,就需要能够实现测试和生产连接;有些系统在测试环境中构建测试系统的成本很高。等等,这个时候可能会导致生产和测试没有完全隔离。这时候,安全部门就需要具体分析问题,灵活对待,在不违反大原则、不造成重大风险的情况下,适当、有限度地开绿灯。6、慎用尚方宝剑在企业内部规章制度中,信息安全一般具有一定的考核和处罚权,也可能被一些大领导等直接授权,作为企业安全管理的尚方宝剑。不过,我想说的是,对于一个弱小的扩张中的队伍来说,还是要慎用尚方剑。使用不当会让我们提前树敌。虽然,我们的意图和目的不是惩罚,但主要目的是提高安全意识。但是,我们应该明白,我们的处罚会给别人造成经济和名誉上的损失,从而对信息安全团队本身造成一定程度的逆反心理。同样,对于其他人员来说,这也会导致他们与信息安全团队产生一定的距离。从此不配合信息安全管理,或表面支持,背后敷衍,甚至闹事,给信息安全工作带来很大麻烦。到更大的障碍。但从长远来看,考核惩戒权仍是我们推进信息安全工作的主要抓手。7、用好乙方团队在真实场景中,有乙方人员戏称甲方为“甲方爸爸”。这是个玩笑。事实上,甲方的合同才是他们真正的“甲方爸爸”。我们只是在工作。作为甲方安保人员,我们也应该明白,在业务快速发展、信息化程度不断提高的背景下,甲方安保人员在数量和专业技能上还与甲方安保建设需求不相适应。一定的差距。此时,乙方团队是甲方信息安全建设实力的重要补充。很多方案设计、风险分析、技术实施都需要乙方人员的深度参与。毕竟他们在细分领域和专业场景上比我们甲方人员有更多的经验和知识。作为甲方团队的一员,我们要善于利用乙方团队,团结带领乙方团队快速高效地构建甲方信息安全治理体系。对于甲方来说,信息安全建设不仅仅是一个技术问题,而是已经超越了技术问??题。它涉及到很多制衡、沟通、协调、妥协等方面。作为甲方的信息安全人员,在了解信息安全专业知识的同时,还应掌握一些战略战术层面的方法论,以便更好地推动和实施企业的信息安全工作。(本文是作者在企业安全实践中的一些分析和思考,也是作者的观点,供大家参考。由于个人能力、眼界和技术水平所限,可能存在一些错误,偏见有疏漏之处,敬请谅解。)
