作为一个信息安全从业者,十多年来,在不同的场合被人问过这个问题,在微信群里也多次有人讨论过这个问题。但是,这么久以来,我一直无法回答这个问题,甚至拒绝回答这个问题,因为这并不是一个好问题。本文只是想谈谈常见的几个答案,由此帮助大家思考信息安全工作的一些特征。本文首发Sec-UN,转载请注明。
1、 安全的本质是信任。
选择一款杀毒软件之后,就必须要相信这款软件的运作机制和体系架构,而不会去想这个杀毒软件会不会留有后门、让竞争对手可以趁虚而入;选定某个数字证书供应商之后,对它签发的数字证书是要信任的;选择让某个员工从事审计岗位,他必然会接触大量敏感的数据,那必然也是要信任员工的。
这里所说的“信任”并不一定是放任自流、不加监管,而是强调信任链条的最后一定是要有个终点的,不能无限循环下去,这是由成本和效率所决定的。于是,选择信任谁、不信任谁,就成为安全体系当中非常重要的一个步骤。对可以信任的,以检查、审计等事后监管措施为主;对不能信任的,要采取认证、授权、加密、审批等事前、事中措施进行控制。
2、 安全的本质是安全感。
评价一个男人的安全感,大致需要考虑到体形体格、性格和长相,嗯,不排除还有钱包的饱满度和花钱的阔绰程度,但对男人安全感似乎没有一个统一的标准。回到安全这个话题上,一个企业的信息安全做的好不好,至今依然没有一个很好的、客观的、量化的评价方式。于是,大多数人只能用领导或者客户的感知来评判。
这种评价方式乍看下来有一定的道理,但很显然的是,这种评价方式就会很主观,每个人对安全的认知是不一样的,对安全团队的价值认可也是不一样的,那做的好不好就是领导或者客户一句话啊!如果是个对安全有深刻认知的领导、客户,安全团队就会比较幸运,如果碰上一个完全不懂行的领导,岂不是要天天撞墙?而且这种评价方式最终的导向就是让安全团队为领导一个人服务,很容易背离设立团队的初衷。
对于这个问题,我建议一个安全团队从这几个维度来评价安全工作的好坏:
(1) 纵向比:和团队历史状态相比,以前不具备的能力现在具备了,以前能做到60%的现在做到90%,以前响应时间30分钟现在提升到了15分钟,诸如此类。
(2) 横向比:和同行比、和同一个行业的标杆企业比,别人发现不了的问题我能发现,我的解决方案库完整度比别人高,别人用拍照能偷东西出来、在我这里连违规带手机都不敢,诸如此类。
(3) 价值比较:如果安全团队的价值是保障企业竞争力,那就从能够影响企业竞争力的数据来看,比如用户数据泄漏、企业经营效率和收入;如果安全团队的价值是反欺诈,那就可以是发现拦截了多少比例的涉嫌欺诈、核实了多少欺诈者和欺诈行为、减少了多少金额的损失。关于这个话题,我后面打算写一个专题,这里就不展开了。
3、 安全的本质是业务安全。
2008年我的老大首次提出“业务安全”这个想法的时候,团队的骨干迅速就这个目标达成了一致。随后摸爬滚打了2年,才终于找到正确的路径和方法,并实践至今。这些年来,“业务安全”的理念逐渐被接受,传唱的人也越来越多,慢慢地就有人提出这个观点。这个观点不能说是错的,但正如开篇所说,这个问题问的不好,答案其实就无所谓对错,只是表达了一种正确的倾向。
什么是业务安全、应该怎么做业务安全,以后专门写一个专题,我认为其核心思想应该是:安全团队的工作,不应该局限于建设体系、部署工具、检查审计这样一个信息安全专业的小圈子,而应该跳出圈子看企业的经营和业务,为企业的经营和业务保驾护航。只有这样,安全团队才能体现价值、才能被老板重视、才能进入良性循环,获得更多的发展空间和机遇。
我所知道的三种常见答案就简单讨论到此,还有其他类型的答案吗?可以一起来聊聊。
最后一点特别赞