科技企业和金融企业在信息安全领域的差异

围观次数:671 views

半年多前,刚入职现东家的时候,就有人问我:“咋样,金融行业和科技行业差别大不?”答曰:“过半年回答你”,现在终于兑现承诺。12年民营科技企业信息安全经历,9个月券商信息安全经历,虽然我也认识不少金融业的安全负责人、有过不少沟通交流,总还是觉得对金融业了解不够。最后一咬牙,决定还是写出来,如果读者能就此有讨论、有思辨,我觉得也就达到了文章的目的。本文得到好友姚飞、唐勤、杜宏保的指导,在此谢过。

当然,有句废话还是要说的:所见并不全面,如有偏颇,欢迎指教。为了避免极端情况,文中会用“基本”、“大体”、“绝大部分”等模糊性用词,以代表大多数情况。按照我的分类标准,互联网行业、电商、O2O没有被归类到科技行业里面。

一、                  企业开展信息安全工作的驱动力和安全目标

科技企业开展业务极少受到强监管,因此信息安全基本上是为了满足业务需求,属于“事件驱动型”或“业务驱动型”,对信息安全工作的效果非常看重。科技行业的客户群体基本是B端,所以科技行业线上业务服务内容不多,决定了线上风险敞口较小;同时,为B端客户提供服务的核心竞争力集中在其所创造、沉淀的各项知识产权和智力成果,因此科技行业的安全目标主要是防范商业秘密被泄露和窃取,保障产品和服务的安全(我习惯称之为“产品安全”);随着业务规模的增加、领域向海外扩张,也会需要满足某些方面的安全合规(典型如GDPR、客户隐私保护,或进入金融业等强监管领域)。

而金融企业的客户群体有大量的C端客户,以目前C端客户的服务方式来看,有大量、发达的业务服务方式,因此决定了线上风险敞口较高,且金融企业信息化程度较高,因此金融企业安全防范重点目标是对抗、防范攻击;同时也正因为服务群体涵盖大部分to C客户,又属于金融行业,一旦服务发生中断,对社会稳定会造成较大影响,因此金融行业在业务连续性保障方面会压过一切,所以这也决定了金融企业高度重视运维,大部分情况下,安全要迁就运维;最后,因为金融行业属于强监管行业,一旦发生内部信息泄露,泄露人员的违法成本会非常高,这也相对降低了内部人员泄密的动机。因此金融企业的安全目标主要是满足监管部门的安全要求,对抗破坏、窃取和欺诈,不发生被监管部门通报、处罚的安全事件,或者通俗地这么说:如果发生了安全事件、违规事项,只要不被监管部门发现和处罚,大体都是可接受的。除了几家顶尖的金融企业,绝大部分金融企业做信息安全还是为了满足合规要求,本质上属于“合规驱动型”,因此不但要符合网络安全法、等级保护制度的要求,还有“一行三会”等监管单位下发的监管要求。

业务形态、驱动力和安全目标的显著差异,也决定了后续几点的差异。

二、                  组织架构设计

科技企业通常会有一个实体的安全部门,要么是与IT部门平行、与IT部门有不同的汇报对象,要么就在IT部门下面、受CIOIT负责人领导,甚至有的科技企业安全部门归属于研发体系。汇报层级看公司规模和重视程度,至少是副总裁直管,有时会向总裁或董事长直接汇报。重视信息安全的科技企业基本都会成立公司管理层参与的“信息安全委员会”,以便在公司层面上拉通信息安全要求、组织信息安全工作、开展重大决策;而且非常关键的是,这个委员会是实质性运作的,也就是定期开会汇报和审议,各单位主管作为委员会成员深度参与,信息安全与业务有碰撞有融合。

金融企业极少有独立、实体的安全部门,如果有、一般也是信息技术部门的下属团队,常见状态要么是运维团队中的几个人承担安全的职能,要么将信息安全管理、实施、运维、运营职能分散到不同团队中。汇报层级一般到IT负责人或CIO,极少能向公司管理层汇报。由于历史习惯和认知差异,金融企业的信息安全基本还是在IT范围内,因此极少有“信息安全委员会”这样的组织架构,最多有“IT治理委员会”这样的组织,且公司管理层的实质性参与极少。

有一些关于国外企业信息安全建设的文章中,总是强调CIOCSO要能够进入董事会,很好奇有多少国外企业能做到这个地步。以目前所见,短期内应该不会有国内企业做到这一步,能做到公司管理层深度参与已经很不错了。

三、                  资源投入

我以前的文章中总结过“资源”包括:人、财、物、政策权力、老板的支持和参与。而汇报层级往往就决定了可以获取怎样的资源。

科技企业的资源投入上,财务预算的直接支持力度往往比较不够,老板反而愿意给人、政策权力,用以弥补财务资源的不足。金融企业基本上相反,编制很难给,业务范围也都在IT范畴,那就给钱,花钱办事。当然,资源永远都是有限的,“够”和“不够”也都是相对,但比较下来金融企业在财务资源方面确实更加充分。以我之前见过的例子,一家大型科技企业的信息安全团队,人员规模40-50人,财务预算每年拼死拼活才能要到1000万,最高的年份是2000万;同等人员规模的金融企业安全团队人员规模10+人,每年财务预算1个亿;人员规模只有十分之一的金融企业,安全团队2-3人,每年的财务预算至少达到1000万。

资源投入上的思路差异,也决定了金融企业一定是安全产品、服务商的大客户。同时,金融企业预算高、人员少的特点也导致在企业内部可能存在着处于“沉睡”状态的安全产品,大概率是由于人员不足未能充分发挥作用,或仅为了满足监管要求而存在,有时甚至会存在前任购买的安全产品在继任者手上不再继续使用的“浪费”现象。这种情况一般在科技企业里面不太会存在。

四、                  信息安全对抗的思路和实践

如前所述,科技企业的安全目标主要是防范商业秘密被泄露和窃取、保障产品和服务的安全、满足某些领域的安全合规要求;所面临的安全威胁主要是“<span”>商业间谍或谋求商业利益的黑客”。所以其信息安全对抗的特点是

1)大多数科技企业的安全原则是“多牺牲一些用户体验,多防范一些风险发生”,在安全策略上尽可能阻止、避免安全风险的引入,以此对抗信息安全威胁。

2)大多数民营科技企业的管理作风比较强势、非常强调自上而下的执行力,因此对于信息安全安全策略、安全项目的实行,非常强调整个组织的协调管理能力,大规模团队作战的机会多,所以在科技企业的安全团队里面,经常有项目管理类岗位的存在。这也就是为什么很多人会认为科技企业做信息安全的“管理”比重很高的原因。

3)安全团队往往还具有决定奖惩的权力,这就保证了安全团队在公司内的话语权和执行力。

金融企业的安全目标主要是满足监管部门的安全要求,对抗入侵和攻击,不发生被监管部门通报、处罚的安全事件;所面临的安全威胁主要是“谋求直接经济利益的黑客、黑产团伙”。所以其信息安全对抗的特点是

1)由于金融企业的业务部门占有极高的地位,IT部门的话语权和地位相对不高,因此安全原则基本是“尽可能保证用户体验”,在安全策略上,控制、阻拦类策略做得少,主体依靠监控、分析、响应、处置来控制安全风险;

2)由于安全风险的控制措施基本还是IT部门、IT系统的范围,且前端控制、阻拦类策略少,因此金融企业在运用技术工具和方法的对抗、运营比重明显大,强调工具、方法、人员的技术深度,这也就是为什么很多人会认为金融企业做信息安全的“技术”比重很高的原因。同时,由于IT部门的话语权和地位相对不高,以及业务部门对安全工作的不理解、不重视,跨IT部门的安全项目(典型如数据治理、数据安全、终端安全项目)实施往往极为困难,沟通难度大、周期长。

3)安全团队在IT部门内部可能拥有奖惩权,但对其他部门一般不具有决定奖惩的权力。除非显著故意且造成较大的负面影响,安全事件很难会有处罚结论。这和金融企业历史沿革下来的企业文化也有关系。

五、                  安全体系运作中的几个点

科技企业对“人员安全”的重视程度极高,不但会综合运用培训、宣传、活动、奖惩、排名、评价、发现告警等方式,而且会分层次、分岗位角色地提升人员的安全意识与能力。讲到科技企业的人员安全,有著名的三句话叫“不想偷、不能偷、不敢偷”,其中其实还整合了“数据安全”的目标,因此几乎是信息安全的终极目标了,能不重视嘛!

金融企业对“人员安全”的理解大多还停留在“宣传教育”层面,通常会开展多种形式的培训、宣传工作以增加信息安全的暴露机会;由于主要还是IT部门在执行这项工作,领导和全体员工的参与度相对较浅,有的金融企业也会举办CTF大赛、钓鱼邮件测试这样的活动来提升对安全的重视程度和开发人员的安全技能。但由于这些措施极少会将安全目标与公司、员工的利益结合在一起,总的来说影响力有限。

因为人少,金融企业对于流程化的工作(比如权限的申请、审批和开通)会倾向于更多地采用技术手段来控制和实现,对于业务层面的安全风险控制也更多地依赖IT系统来实现,同时还能实现“留痕可审计”的目的。

对比通过了安全体系认证的企业,金融企业的认证范围基本上还是在IT部门,科技企业的认证范围大多是全公司、至少也要包括核心的业务部门。这主要还是与安全团队的工作目标、影响力有关。

六、                  方法论

由于资源(尤其是财务预算)来之不易,企业生存环境面临的挑战巨大、有较大的经营压力,科技企业非常关注将资源投放在“最重要”的事情上,并且对于目标达成度、资源利用效率非常介意,因此会运用企业经营管理领域的一些方法论来指导经营工作,诸如业务领先模型BLMSWOT分析法、精益生产理论、孙子兵法。受此影响,科技企业的安全团队往往也具有较强的方法论能力,在如何定义恰当的安全目标,如何全面而准确地分析当下和未来的安全风险,如何应对当下最重要的安全风险,如何分析风险背后产生的根本原因,采取怎样的安全措施可以达到最佳性价比的效果,都有较完备的流程和方法论。

相比之下,金融企业似乎不太追求“最佳性价比”、“费用使用效率”,而关注投入之后得到最好的结果。由于资源(尤其是财务预算)相对宽松,一旦对安全威胁处置不当,极可能造成直接经济损失,因此会倾向使用好的产品、服务来达成目标。但是由于安全团队人数往往不多,因此大多依靠个人能力来识别安全风险、定义安全目标和解决安全问题,比较少依赖上述方法论以来保证效果和效率,思考和决策模式相对简单快速。同时,金融企业在考虑项目、产品方案时,往往会倾向于采用同行(尤其是同行头部企业)的做法。

七、                  安全人员的能力结构

由上面一系列维度可以看出,科技企业的安全人员在管理类技能上更加突出一些,诸如规划能力、项目管理、沟通协调;金融企业的安全人员在技术类技能上通常更深入一些,尤其是在攻防对抗、安全运营领域。

八、                  总结

本文无意去评判科技企业和金融企业在信息安全领域工作方式的好坏优劣,文章写出来可能也没有什么营养,初衷只是想做个对比分析、兑现我对朋友的承诺。存在就是合理的,信息安全也是企业经营管理的一个领域,老板们也都不是傻子,自然会做出评判和评价。

1人评论了“科技企业和金融企业在信息安全领域的差异”

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助