什么叫信息安全工作的驱动方式?就是回答一个企业为什么要做信息安全。正确理解一个企业为什么做信息安全,可以(1)知道这个企业的信息安全目标、重点是什么,“知道为什么而战”比“怎么战”更重要;(2)找到一个最合理、最有效的方式来推动信息安全工作,同时也能够更好地达到信息安全工作目标、展现价值;(3)对CSO、信息安全从业人员的职业发展也是很重要的参考,知道这家企业是否适合自己、自己是否可以找到价值最大化的平台。
根据个人经验,我将企业信息安全工作驱动的方式归纳为4类:
1.
事件驱动型
顾名思义,就是以被动响应为主的工作方式,通常指由于内部信息安全事件(诸如数据丢失或损坏、文档失窃、商业秘密被窃取、知识产权被侵犯、竞争对手的恶意破坏)、外部信息安全事件(诸如WiFi万能钥匙、勒索病毒爆发、斯诺登事件被披露),从而开展一系列安全建设动作。
2.
合规驱动型
这个也很好理解,就是以满足外部规范、要求为主的工作方式,通常是根据外部规范、要求建立自身的信息安全管理体系,以达到规范要求为主要目的。
3.
消费驱动型
没错,你没看错!就是以花预算为主的工作方式。通常是根据内外部规范、最佳实践和供应商推荐,制订年度规划和预算,开展信息安全建设。其主要目的是把今年的预算花完,明年才能够有足够的预算花,剩下的只要不出事就万事大吉。
4.
业务驱动型
我原先把这种工作方式命名为“规划驱动型”,但是仔细研究后发现,“合规驱动型”和“消费驱动型”也可能形成明确的规划、并按照规划推进落实。斟酌之后,我调整为“业务驱动型”。常见的状态通常是这样的:(1)老板或业务部门重视;(2)通常以业务部门发起、提出安全改进需求,或以信息安全部门发起、调研业务部门并形成安全改进需求,且业务部门的安全改进需求是信息安全部门工作的主要内容,其改进效果也应该是信息安全部门绩效的主要输入源;(3)由于自身能力的问题,也可能会基于业务需求开展一些局部的、不系统的安全建设,甚至可能效果不好;(4)业务驱动型做得好,往往也会有合规驱动的工作形式和内容。
业务驱动下的信息安全目标,大致归纳为几种(1)保护商业秘密和自主知识产权不被窃取和破坏;(2)保护用户个人信息、数据和身份安全;(3)保护系统和应用的安全;(4)保护营销推广、交易、支付、营收等业务目标的达成,保护企业和个人的钱款,不被破坏、窃取、恶意利用。其中(4)被很多金融企业、互联网企业称为“业务安全”、“风控”,而我对“业务安全”的理解会更广,这个话题另文描述。
以下根据个人经验所知,不免有些偏颇,仅略做总结:
金融行业首先以合规驱动型为主,近些年随着金融监管的加强、攻击窃取事件的发生、对数据安全和个人信息保护的重视,正逐步迈向业务驱动型,优秀的金融单位已经显然是业务驱动型。其中,银行业成熟度最高,证券业其次,保险业最后。
互联网金融近年来蓬勃发展,但由于面临监管合规和持续盈利的压力,总体局面上处于合规驱动型+业务驱动型结合,不同企业根据投入、自身能力各有偏重。
国内的电商、社交、游戏行业,由于业务开展充分依托互联网,无论是要对抗入侵和攻击,还是要防范内部操作风险都是生死存亡的关口,因此以业务驱动型为主。
科技行业(包括了传统的生产制造企业,新经济形态下的生产制造+研发企业,非互联网的纯研发类企业)中分化显著。营收和利润已经达到一定规模、具备一定市场影响力的科技企业,如果在保护自主知识产权、商业秘密方面有原发的动力,会很快地进入业务驱动型。而如果缺乏足够的科研实力,也就缺少保护知识产权和商业秘密的动力,往往会以事件驱动型或合规驱动型为主,并且合规驱动的动力大多来自于大客户。
对于政府、事业单位、关键基础设施(水、电、气等)管理运营单位,即使在强力推进《网络安全法》和等保测评标准的今天,我也认为是消费驱动型为主,合规驱动+事件驱动为辅。说的不客气点,其实主要目标就是花钱、堆项目,顺带解决部分信息安全问题。个人经历所限,我所见的这些单位都在华南,本观点不针对全国。
运营商的信息安全,总体上我认为属于合规驱动型。
地产、商业集团,我也见过3-4个,比较难以理解他们的信息安全工作驱动力是啥,就不瞎说了。
你所在的企业,信息安全处于那种驱动方式?来聊一聊?