进入九月的第一天,阿里云就给了广大安全圈子的同仁们一个茶余饭后的大谈资。一时间众说纷纭,各种评论不绝于耳。
今天看到的一篇文章《由此次阿里云事件谈粗暴的安全防护手段》从一个不同的角度讨论了阿里云安全防护中存在的几个问题,让人耳目一新。
由此也引出了一个一直以来国内信息安全实务中隐藏的比较深的问题:业务和安全,孰大?
眼下国家对于网络和信息安全的重视程度不断上升,习大大亲自摇旗,整个安全行业看似欣欣向荣。但是在企业信息安全治理的实务操作中,存在的却往往是两种极端。
一种最为普遍情况是信息安全治理工作在企业管理中被划归到IT治理的框架之下,姥姥不疼舅舅不爱的,甚是可怜。
另一种情况就是信息安全工作归口一个类似总裁办之类可以上达“天听”的部门负责,信息安全治理由此凌驾于所有业务和职能职能之上。
作为信息安全从业人员,前一种情况作为目前普遍存在的情况,自然是我等同仁理应全力扭转的一种局面,方法有很多,不作为本文的主体。
而后一种情况虽不算主流,作为一个信息安全从业人员,如果能够遇到这种企业,绝对是可以弹冠相庆的一件事情。但是,实际情况却并非如此简单。
常见的例子有很多,如内网禁止使用移动设备接入,不能使用无线网络接入,数据传递不能使用移动存储设备之类,类似种种逆潮流的安全要求屡见不鲜。看似合理,实则却是简单粗暴,存在极大的隐患!
首先,无论我等信息安全从业人员对于自己的专业和工作多么的重视,不可否认的一个事实是,信息安全仅仅是企业业务的一项支撑(安全公司不在此列)。如果说企业业务是一张皮,那么信息安全工作最多也就是上面的几根毛,皮之不存毛将焉附?举个例子交通事故天天有,如果交警仅仅是为了不发生交通事故,那最好的方式就是就是彻底封路禁行。如果交警真的这么做了,那么还要交警干什么?
其次,对于业务进行过程中的安全风险和安全隐患,作为企业信息安全的管理者,理应找出解决方案和应对之道,而非简单粗暴的应对。诸如阿里本次的事件,仅仅是为了确保云空间的安全性,便对空间中的所有数据和文件进行监控和不经告知变直接干预,简单粗暴至极。这绝对是信息安全治理实务操作中“懒政”的思维在作祟!
经常说的一句话,“安全和业务必须平衡,安全必须服务于业务”。如果这种简单粗暴的信息安全治理方式不加以改变的话,企业的主营业务必然会受到越来越大的影响,企业运作成本不断上升,客户的满意度不断下降,最终的结果也只有两种可能:“皮”没了 or 信息安全被打入冷宫!
以上的一点思考,与各位从事信息安全治理实务工作的同仁分享!
