正文

诸子笔会2023 | 王忠惠:通过整合生态能力降低安全应用门槛

admin
admin V管理员 /0 评论 /119 阅读
0103
此篇文章发布距今已超过325天,您需要注意文章的内容或图片是否可用!

自2023年10月起,“诸子笔会2023第二季”正式拉开帷幕。10位专家作者组成新一届“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取万元高额奖金以外,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。

通过整合生态能力降低安全应用门槛

     文 | 王忠惠



王忠惠

千寻位置网络有限公司 基础安全负责人



 

信息安全专业硕士学位,10年以上网络安全领域的工作经验;早期致力于政府部门安全攻防一线实践,曾多次参与多个部级前沿网络攻防项目的规划组织工作;目前在头部互联网公司担任安全专家,带领团队以云服务、应用和整机的软硬件安全能力和网络防护能力为体系建设目标,落地产品、技术和平台。


即使安全技术和安全方法已经得到了长期稳定的发展,企业安全建设仍旧面对投入大见效低的局面。在日常信息安全的工作中,网络安全和监管合规的要求取得了业务部门的高度重视,甚至在新业务立项和开发的早期,就将安全内容作为整体工作和实施计划的一部分,我们仍旧不能否认安全工作本身仍旧是成本中心和效率问题。
信息安全工作的目的是什么?无论是Web程序、终端软件、移动App、区块链或是AIGC,新出现的安全问题形态总是随着新的应用形态持续出现,不同的外在却有着相似的安全内核。为了取得业务的发展、保护客户的信任、保持竞争的优势,通过信息安全建设的角度,最终提高企业的商业优势。为此,我们需要确定一些与信息安全相关的建设目标,包括整体安全水平、必要的安全能力、平衡成本与效率、取得支持与达成目标。

企业经营的目的是多维度的,通常是以提供产品和服务为途径,创建社会经济并实现利润。信息安全责任作为企业承担社会责任的一部分,也是维持企业业务持续发展的基础手段。企业更加关心信息安全能否满足业务发展的需求,具体包括:通过保护信息系统和数据免受威胁,可以降低业务中断的风险,确保服务的持续性。通过有效的信息安全措施,能够保护客户的敏感信息,建立可靠的商业关系。通过履行信息安全责任,能够维护在社会中的信誉和形象。通过履行信息安全责任有助于确保符合相关的合规性要求。
信息安全团队首要义务是理解企业的业务风险偏好,尤其来自管理层对信息安全的理解,对信息安全与业务边界的体会,从而掌握需要实现的安全水位。信息安全团队应该积极与业务团队建立合作关系,深入了解业务运作的核心和关键方面。这包括与各个部门的负责人、业务组长以及法务团队等密切合作。了解业务部门开展的各类业务,通过积极参与业务决策的过程,特别是与技术和信息安全相关的决策。通过早期介入,信息安全团队可以更好地理解业务需求,并提供相应的安全建议。
安全介入业务流程,主要是对关键的业务流程进行深入了解,包括数据的流动、业务系统的依赖关系以及关键业务决策的上下文,这有助于确定信息安全对业务的实际影响和关键要素。通过将用户隐私、应用安全等合规内容,融入业务过程,能够保证产品服务与合规要求的一致性。对业务的理解,能够更好地掌握业务目标与风险、收益的关系,也就更好地与管理层保持沟通,了解他们对业务风险最真实的看法和偏好。而确认整体安全水平,就是掌握业务风险需要的安全需求和承担的风险,其次就是准备必要的安全能力。

为了构成企业综合的安全体系,需要根据业务需求、风险偏好和行业特点的变化持续更新安全策略,并不断优化和改进安全措施以适应不断演变的威胁环境。这些安全能力需要囊括如下内容:对于公司自身业务发展的支撑能力,以开发安全为内容,集成安全最佳实践到软件开发生命周期,包括需求分析、设计、编码、测试和发布阶段。建议最小网络防御基础,构建安全可靠的网络安全产品组合,利用安全产业的各类产品服务,搭建所需要的最佳防护。
向各方传递对数据安全与隐私保护的重视,通过数据安全视角和三方机构检测,不仅满足企业自身对数据泄露的担忧,也消除监管侧不确定性关切的影响。对于核心关键系统,梳理应用能力是否满足业务安全的需要,建立身份、权限、审计等在内的基础功能。持续增强员工安全意识,消除管理层长期关切的内部风险隐患,包括离职员工、特殊员工和关键人员可能影响商业安全的行为。
能力的建立和持续运行需要确认能力的有效性,定期评估最真实的安全管控能力,发现潜在的漏洞并验证防御机制的有效性。借助攻击验证发现潜在的安全风险,检验和提高组织对实际攻击的抵御能力。
多样化的安全投入,容易造成成本过高;另一方面,大量安全措施会造成业务效率的降低。平衡成本与效率是企业安全管理中一个至关重要的挑战,提高安全能力的同时,需要有效地平衡成本和效率的可持续性。在选择安全解决方案时,不仅要关注功能和性能,还要考虑成本效益。选择对组织需求和规模适用的解决方案,而不是追求过度的功能。确定和保护对业务至关重要的关键资产。将安全投资集中在最关键的业务功能和敏感信息上,重点解决对组织风险影响最大的问题,确保资源投入更加精准。利用自动化工具来提高效率,降低操作复杂性,提高响应速度。这些都需要将安全控制整合到已有的业务流程中,以最大限度地提高效率。确保安全措施不会过于繁琐,影响正常的业务操作。

平台化整合是走向安全成功的关键路径。平台化整合提供了一体化的视角,让组织能够全面、综合地管理各种安全措施,包括网络安全、终端安全、身份和访问管理等。平台化也是管理层能够理解的业务语言,是获取最大支持的保障。以效率、成本为视角的安全控制,更符合企业业务特性,更与组织的业务发展战略相一致。
安全团队和安全能力的长续发展需要整合各方安全资源,并降低企业投入的关注力,帮助业务从非安全视角快速应用安全。这是我们在不确定性发展中,寻求与业务关联和绑定的最大工作目标。



推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网