企业如何做好安全体系建设?作为老板、业务、安全从业者,这个问题的答案会是这样吗?作为老板,积极关注安全事务,并提供相应的资源,包括金钱、权力、时间,关注安全人员的成长,给予极大的信任和期望;作为业务人员,积极响应,密切配合,为KPI加安全,及时处理安全部门反映的问题,与安全部门建立密切的战略合作伙伴关系;作为一名安全员,利用安全运营平台和技术来识别和处理安全事件,可以为公司的持续业务运营提供安全保障能力,让老板赚到更多的钱,自己走上升职加薪的成功之路。但实际上?老板和高层不关心所谓的安全制度化建议,或者不重视安全。他只关心核心业务、资本运作等有关公司愿景的事情;业务人员关心的是产品什么时候上线,产品如何被市场认可,如何转化为收入,对安全的态度可以加,但不要影响我上线。如果网上有漏洞,关我什么事?你负责安全,不是我;和安全人员方面,救不完的火,口水不完的口角,开不完的扯皮会,挖不完的坑,上下左右的质疑不完。哪有时间系统化?怎么做?笔者认为,是让安全体系建设产生价值;作为安保部门的负责人,他的责任重大。他必须知道公司高层的愿景,这样相应的工作重心才会转移到公司的愿景上。形成安全工作愿景,也就是常说的同心同德,这样老板的目标才能实现,相应的安全事业也才能开展起来。为什么不这样做呢?安全体系的建设,归根结底是要形成一个管理体系(Management),是有效的安全策略和措施与技术控制(安全技术)、日常有序(安全运行)的结合;开展工作,首先要做好合规工作,不要应付和敷衍;现行《网络安全法》、《网络安全等级保护条例》、GDPR、SOX404、ICP年审、各部委安全专项检查等。如果出现问题,公司可能会受到很大的影响。这是老板关心的,所以你会发现很多事情都可以进行;其他,做好安全基础工作,不要相信有什么灵丹妙药,安全体系不可能一下子完成,应该同时根据业务和安全愿景通过安全事件来推进、协调相应人员、文档处理流程、统一软件、嵌入SDL点(与业务商讨或培训QA)、人员培训计划等;也许当你完成短期目标(1-2年)的时候,安全系统的雏形就已经出现了。后期逐步完善相应的模块,补充相应的安全防御产品和技术手段。相信在你们的五年目标中,会形成一个有效的信息安全体系,提供一个保障的目标。有效的纵深防御架构之后是优化。根据PDCA模型,对安全策略和体系进行更新、调整和优化;最后是日常的安全事务处理,这是笔者个人理解的安全操作。如果有真正的安全运营平台,将安全策略下发、流量监控、安全事件处理联动、安全风险预警等日常工作自动化,那么未来招聘的职位可能有安全平台策略分析师,还有作为专职安全操作在流水线上什么都不懂的工程师;笔者认为,信息安全体系建设的价值体现在公司身上,只有根据公司业务不断优化后才是最好的;公司的业务和发展阶段是不一致的,相信每一位安全从业者也都有自己认为最好、最能体现自我价值的人;加油,奥力!
