这个“CSO怎么做”的系列,到这一章算是收个尾。原定还有2、3个话题没有写,有几个原因:(1)原定的信息安全人员能力树,君哥已经写了,我就不赘述了;(2)关于一些靠谱的信息安全工具、平台推荐、以及踩过的坑,但是这些内容似乎拿来交流分享比较好,毕竟我的经历还是有限,不可能把所有的坑都踩一遍,所以想先收集一下同行的分享,再做分享。
在前面几章内容发布之后,陆续收到一些读者反馈,有些问题是有共性的,所以作为收尾篇章,共同回答一下。
- IT团队和安全团队之间的关系应该是怎样的?
先回答问题:互相合作、相互监管。
如果安全团队在组织架构上属于IT的大团队,那么安全团队的职能定义取决于老板的想法、以及CSO的运作,本质上我认为依然应该包括“合作+监管”的属性。这种情况下,强烈建议不能只从IT技术下手,因为实质上无法用技术控制所有的风险。
如果安全团队与IT团队在组织架构、汇报关系上是分开的,那么就是典型的“又合作、又监管”的关系。安全团队应该比IT团队多一些审计、检查的特权,但是安全团队的操作也应该受到老板或者IT团队的监管;从组织行为学来说,一个不受监管的组织最后一定会走样,所以必须受到约束或监管。
- 业务安全怎么做
做起来很简单,也很难:充分理解业务,做业务的朋友,在帮助业务解决难题的过程中解决安全问题。当然,如前所述,“业务安全”的含义各人理解都不一样。
如何理解业务?1快速学习业务知识,听懂业务部门说的话;2看流程文件;3到现场去实地查看、体验、深入分析业务需求和场景;4和业务部门的人做朋友、找铁杆,互相掏心窝子;5把自己当做业务的人、当成老板,琢磨既做好业务、又做好安全的措施;6把措施落实到位,达成双赢的目标。
无论团队大小,CSO都必须是一个既懂安全、又懂业务的专业人士。业务安全的底线是业务不出大事,高标准就是保障和提升业务的竞争力。
- 如何处理信息安全与效率、用户体验之间的冲突
在2018年以前,我都坚定地持有这个观点:“信息安全与效率总是冲突、矛盾的”。随着与同行交流的深入,我觉得现在需要修正一下:“在资源和能力不够的前提下,信息安全与效率总是冲突、矛盾的。”这句话里面,有时候“用户体验”≈“效率”,虽然这两个词的内涵差别很大。
回答这个问题的思路是,看资源和能力吧。互联网公司的产品其实往往能兼具用户体验和安全性,背后还是有强大的能力和资源支撑的。一般公司资源不够能力补,能力不够资源补。如果资源和能力都不够,只要态度认真、多琢磨、多交流学习,应该也是可以补足能力短板的。
- 为什么说现在很多安全工具没有适应科技创新型企业的需求?
有很多原因。这里仅举几个场景,我就没见过安全厂家这十年来有过显著进步。
在研发环境下,研发电脑存有高度保密的代码,而这台电脑又必须开放USB接口与外部的调试、烧录设备(比如手机、单片机、FPGA板、示波器)连接,有时候还得开放Massive Storage功能。研发电脑有时候还得是Linux操作系统。这种场景下,如何既保护代码,又支持通过USB接口调试、烧录工作正常开展?物理安全隔离还真的不是每家公司都能用。
前述章节提到的“以人为中心的行为和内容监控平台”,我至今没看到有一个厂家是照这个思路做的,都在做网络安全的攻防对抗检测、感知和展示。对于防泄密为主的科技创新型企业来说,这似乎并不是主要需求,用起来也有诸多掣肘的地方。
当需要保护文件的机密性,往往又希望让文件在公司内部流转,通过信息流转提高经营效益。常用的各种DLP技术已经逐渐可以做到识别“文档”,而科技创新型企业里面的涉密文件除了文档,还有各种包含涉密信息的文件、信息类型需要识别,比如音视频、图片、设计类图纸、特殊格式代码、工艺、电路设计图等等。以我所见,并未见到特别好的技术和方案。相信很多甲方都被加密软件坑过。
- CSO还应该具备哪些素质、能力?
前面的章节中已经提到了CSO的4个核心工作,完成这些工作就需要一些核心素质、能力。
最近发生的一些事情,让我发现有一个能力挺重要的:尽可能一次说清楚自己的需求和目的,这其实属于一种高效沟通能力。我经常遇到有人来问我:“认不认识某某公司的人?”“你们有没有遇到过这个问题?”“你们用过这个工具没有?”这就属于典型的“没有说清楚自己的需求”。正确的说法应该是:“我发现了某个公司的某个系统的一个安全漏洞,请问应该通报给谁?”“我们的业务场景是这样这样的,在实现过程中遇到了那样那样的问题,我们经过排查发现123,但还是解决不了、现象是怎样怎样的,请问有没有什么解决思路或方法可以指导一下?”“我们打算在工具A和工具B中做采购选择,但是不知道实施中可能遇到什么坑,想多了解一下、帮助我们决策,以及实施过程中做好充分的风险应对”。瞧,这样是不是高效很多?CSO不但自己应该具备这样的能力,还应该训练自己的团队成员也具备这样的能力。
- 为什么写这个系列
我一直在琢磨这几个问题:信息安全市场到底是甲方引领,还是乙方引领驱动?为什么国内很多安全产品、长期以来没有适应国内科技创新型企业的需求?
最后我的结论是这样的:1、市场应该由甲方的需求引领,由乙方的产品和服务驱动,形成良性循环。我看了一些美国安全市场的分析材料,感觉上应该是这种结构才比较良性;2、科技创新型企业的需求长期以来得不到重视,主要因素就是甲方的安全能力还不够成熟。一个成熟的安全团队应该对风险和问题有准确的认知,能够根据企业战略和现状提出正确的需求,以专业能力和恰当的性价比原则来选择产品和服务,以专注目标、不搞事的态度建设团队;如果科技创新型企业的CSO都能做到这个地步,就可以构建成熟、正确的甲方市场导向,甲方的需求和呼声才能得到重视。我甚至认为CSO们还应该形成合力,共同推动在信息安全、个人信息保护、商业秘密保护上的立法、执法进步,与有关部门共同建立一个更加可信的社会环境,让信息安全工作在一个“可信”状态下运转,而不是在持续地与“不可信任的人与环境”对抗。
这就是我写这个系列的初衷。因此我把自己过往的经验总结、分享出来,希望和各位CSO交流、共同快速成长。我的经验和认知不一定都对,所以特别希望看到更多、更有趣也更加有效的讨论和交流。华南的一些科技创新型企业CSO已经组了个群,有兴趣加入的可以跟我邮件联系。目前,我们的想法是(1)欢迎从事科技创新型企业信息安全工作的CSO、业务骨干加入,我们也会逐步纳入乙方和第三方安全人士,共同为科技创新型企业的经营保驾护航;(2)我们对科技创新型企业的定义是“以技术秘密或技术类知识产权为核心生产力、核心竞争力的企业,且其业务经营模式不主要依赖互联网”,诸如高科技企业、研发型企业、生产制造型企业等都属于这个范围,其他行业的我们也热烈欢迎。
最后,我的联系方式是truebasic#outlook.com。之前由于我的失误,在已发布的文章中,联系方式都写成了@hotmail.com。对此给各位造成的困扰,说声对不起。