安全圈流傳着一句話叫“安全是個尷尬的存在,不出事,老闆覺得有你沒你一個樣,出了事,又覺得你安全做的不好!”,這就是安全的價值在甲方企業中無法很好的體現導致的,類比一下現實生活中的保安,一個有保安的小區和一個沒有保安的小區,你會選哪個?當然是有保安,保安可以給我們帶來安全感!對於兩個小區而言,有保安和沒保安就是兩者的區別,在選擇的時候,安全也可以作爲選房子的參考,爲小區提升競爭力,獲取更多的客戶!
在網絡的世界裏,人們對於上網的安全感是缺失的,在使用互聯網產品的時候不會去對比兩者的安全性哪個更好,或者說是沒有能力鑑別,所以安全做的好與壞對於企業來說並不會帶來實際的競爭力,但是我相信以後安全性是有可能成爲企業之間競爭的一個特性。
從古至今,保安行業是一直存在的,大門大戶爲了保護自身的財產安全僱傭家丁站崗,爲了將貴重的物品運送給指定的人僱傭鏢局,即使做了這些工作,也不能保證百分之百不出事,同樣會被盜竊,截鏢,但這個行業爲什麼一直存在?老闆知道花了錢,僱了保安也同樣做不到百分之百安全,還是要花這個錢,爲什麼?我認爲一個是花了這個錢,對自身而言有了一定的安全感,而且對於低級別的盜賊、馬賊的騷擾是可以抵禦的!相對於互聯網時代的今天,企業如果一點安全都不考慮,或許一個初出茅廬的腳本小子就可以對你的企業造成不可逆的損害,或者因爲員工的安全意識不足而造成損失!所以對於企業而言,即使一個人的安全部,也會很大程度上提升企業的安全性,抵禦一些低級的攻擊,不至於頻頻救火!
不同的企業對於安全的需求是不一樣的,自然對於安全建設的程度也不一樣,在企業中能夠體現安全價值的往往是業務安全,比如防禦了多少羊毛黨、抵禦了多大的 DDoS 流量、發現了多少業務系統的漏洞、攔截了多少惡意請求等等,即使這些直接與業務相關的安全也得做到讓老闆看的見,看的懂,他才知道你的價值。像內網的主機安全、數據安全、員工的行爲安全等,很少有公司會在這方面投入,歸其原因,一是這方面的攻擊事件比較少、二是看不到直接的損失、三是對技術要求高,設備採購貴等,所以只有那些獨角獸公司纔有錢、有人來做這麼高級的安全建設來抵禦高級的攻擊事件!
國內安全的地位普遍不高,安全團隊在公司的組織架構中處於什麼級別,也就表示安全團隊在公司的地位有多高,比如重視安全的公司,會設置 CSO ,掌握整個公司的情況,可以做很全面的安全建設;最多的公司會把安全團隊放在 CTO 下,那麼安全部門能做會有一定的侷限;還有很多一個人的安全部,將安全的小夥伴分配到運維部門、測試部門等下面,那可以做的事情就更有限了,只能在自己的部門下做一些力所能及的事情;所以作爲安全從業者,你想要發揮多大的價值是跟公司的重視程度有關的,而重視程度就在於你所在的公司把你安排在什麼樣的部門!
互聯網企業,最重要的數據資產就是用戶的數據,用戶數據被竊取、被泄漏都是非常大的安全事件,企業老闆是不想看到的,因爲數據泄漏會直接導致企業的聲譽造成損失從而導致股票下跌,在國內已經發生過很多起這樣的事件,但最後的損失並沒有想象的那麼大,出事之後找一個安全的小夥伴背鍋,然後像公衆道歉,企業在安全方面的投入該不投就不投,一如既往,爲什麼會這樣?相比國外,國外的企業發生數據泄漏事件,民衆的安全意識強,會集體訴訟該企業、國家會對該企業提出鉅額罰款,從而迫使企業不得不在安全上增加投入。而我們發生這樣的事件之後,除了譴責一下,好奇一下是誰背鍋了,然後不了了之,民衆對於自身的隱私泄露貌似已經習以爲常,接聽詐騙電話、收取廣告短信也都不以爲然,國家去年頒佈了網絡安全法,今年也有幾起因爲攻擊事件而被處罰的企業和安全負責人,這是一個好的開端,對於我們普通民衆而言,要提升自己的安全意識,不要輕易放過那些不把我們自身隱私信息當回事的企業,這個估計還要很長的路要走!
現在企業開始做安全的契機,可能的原因有兩點,一是經常被攻擊,爲了解決這個問題不得不聘請安全人員做安全建設,二是來自於國家的要求,國家的等級保護制度,要求所有達標的公司都要通過審覈,還要定期審覈,所以很多公司開始招聘安全人員都是從過等保開始。對於企業安全建設而言,過等保確實是一個好的開始,雖然過了等保也不能保證企業在安全上有質的提升,但是從這個過程中或多或少會讓老闆對安全有所瞭解,如果全部規章制度都能落地執行、安全策略能夠實施,對於企業的整體安全也已經有了很大的提升。過等保不是企業安全建設的最終目的,這只是一個及格線,雖然你爲了滿足等保的要求,制定了各種制度、採購了各種安全設備,但是制度沒有落實在工作中、設備的日誌看不懂不會用,那麼同樣無法保障企業的安全,所以做好企業安全建設落實制度和提升安全技術是同樣重要的。
在很多企業,對於安全的看法都是除了花錢多,而且還拖後腿,各種安全制度,各種安全規則,登陸個系統還要雙因子認證,上個網還要走代理,所有的操作都在監控之下,老給我們提漏洞,害我們加班,SB 安全部!安全小夥伴在企業的生存環境是非常惡劣的,本來安全和方便就是成反比的,越安全操作越複雜,所有的規則在最開始都是不被接受的,習慣就好了,想要所有員工都在安全的環境下工作,遵守所有安全的規章制度還有很長的路要走!
試想一個問題,如果你是老闆,你會重視安全嗎?安全如何賦能業務,爲業務的發展保駕護航,而不是爲了安全而增加業務的負擔,阻礙業務的發展,這是一個難題,安全還有很長的路要走,不只是企業的事情,還有民衆對安全的看法,國家對安全的重視,任何時候,安全都是必不可少的,安全同仁們一起加油吧!