从事安全 价值几何 如何体现 你来说说

来自:信安之路(微信号:xazlsec),作者:myh0st

安全圈流传着一句话叫“安全是个尴尬的存在,不出事,老板觉得有你没你一个样,出了事,又觉得你安全做的不好!”,这就是安全的价值在甲方企业中无法很好的体现导致的,类比一下现实生活中的保安,一个有保安的小区和一个没有保安的小区,你会选哪个?当然是有保安,保安可以给我们带来安全感!对于两个小区而言,有保安和没保安就是两者的区别,在选择的时候,安全也可以作为选房子的参考,为小区提升竞争力,获取更多的客户!

在网络的世界里,人们对于上网的安全感是缺失的,在使用互联网产品的时候不会去对比两者的安全性哪个更好,或者说是没有能力鉴别,所以安全做的好与坏对于企业来说并不会带来实际的竞争力,但是我相信以后安全性是有可能成为企业之间竞争的一个特性。

从古至今,保安行业是一直存在的,大门大户为了保护自身的财产安全雇佣家丁站岗,为了将贵重的物品运送给指定的人雇佣镖局,即使做了这些工作,也不能保证百分之百不出事,同样会被盗窃,截镖,但这个行业为什么一直存在?老板知道花了钱,雇了保安也同样做不到百分之百安全,还是要花这个钱,为什么?我认为一个是花了这个钱,对自身而言有了一定的安全感,而且对于低级别的盗贼、马贼的骚扰是可以抵御的!相对于互联网时代的今天,企业如果一点安全都不考虑,或许一个初出茅庐的脚本小子就可以对你的企业造成不可逆的损害,或者因为员工的安全意识不足而造成损失!所以对于企业而言,即使一个人的安全部,也会很大程度上提升企业的安全性,抵御一些低级的攻击,不至于频频救火!

不同的企业对于安全的需求是不一样的,自然对于安全建设的程度也不一样,在企业中能够体现安全价值的往往是业务安全,比如防御了多少羊毛党、抵御了多大的 DDoS 流量、发现了多少业务系统的漏洞、拦截了多少恶意请求等等,即使这些直接与业务相关的安全也得做到让老板看的见,看的懂,他才知道你的价值。像内网的主机安全、数据安全、员工的行为安全等,很少有公司会在这方面投入,归其原因,一是这方面的攻击事件比较少、二是看不到直接的损失、三是对技术要求高,设备采购贵等,所以只有那些独角兽公司才有钱、有人来做这么高级的安全建设来抵御高级的攻击事件!

国内安全的地位普遍不高,安全团队在公司的组织架构中处于什么级别,也就表示安全团队在公司的地位有多高,比如重视安全的公司,会设置 CSO ,掌握整个公司的情况,可以做很全面的安全建设;最多的公司会把安全团队放在 CTO 下,那么安全部门能做会有一定的局限;还有很多一个人的安全部,将安全的小伙伴分配到运维部门、测试部门等下面,那可以做的事情就更有限了,只能在自己的部门下做一些力所能及的事情;所以作为安全从业者,你想要发挥多大的价值是跟公司的重视程度有关的,而重视程度就在于你所在的公司把你安排在什么样的部门!

互联网企业,最重要的数据资产就是用户的数据,用户数据被窃取、被泄漏都是非常大的安全事件,企业老板是不想看到的,因为数据泄漏会直接导致企业的声誉造成损失从而导致股票下跌,在国内已经发生过很多起这样的事件,但最后的损失并没有想象的那么大,出事之后找一个安全的小伙伴背锅,然后像公众道歉,企业在安全方面的投入该不投就不投,一如既往,为什么会这样?相比国外,国外的企业发生数据泄漏事件,民众的安全意识强,会集体诉讼该企业、国家会对该企业提出巨额罚款,从而迫使企业不得不在安全上增加投入。而我们发生这样的事件之后,除了谴责一下,好奇一下是谁背锅了,然后不了了之,民众对于自身的隐私泄露貌似已经习以为常,接听诈骗电话、收取广告短信也都不以为然,国家去年颁布了网络安全法,今年也有几起因为攻击事件而被处罚的企业和安全负责人,这是一个好的开端,对于我们普通民众而言,要提升自己的安全意识,不要轻易放过那些不把我们自身隐私信息当回事的企业,这个估计还要很长的路要走!

现在企业开始做安全的契机,可能的原因有两点,一是经常被攻击,为了解决这个问题不得不聘请安全人员做安全建设,二是来自于国家的要求,国家的等级保护制度,要求所有达标的公司都要通过审核,还要定期审核,所以很多公司开始招聘安全人员都是从过等保开始。对于企业安全建设而言,过等保确实是一个好的开始,虽然过了等保也不能保证企业在安全上有质的提升,但是从这个过程中或多或少会让老板对安全有所了解,如果全部规章制度都能落地执行、安全策略能够实施,对于企业的整体安全也已经有了很大的提升。过等保不是企业安全建设的最终目的,这只是一个及格线,虽然你为了满足等保的要求,制定了各种制度、采购了各种安全设备,但是制度没有落实在工作中、设备的日志看不懂不会用,那么同样无法保障企业的安全,所以做好企业安全建设落实制度和提升安全技术是同样重要的。

在很多企业,对于安全的看法都是除了花钱多,而且还拖后腿,各种安全制度,各种安全规则,登陆个系统还要双因子认证,上个网还要走代理,所有的操作都在监控之下,老给我们提漏洞,害我们加班,SB 安全部!安全小伙伴在企业的生存环境是非常恶劣的,本来安全和方便就是成反比的,越安全操作越复杂,所有的规则在最开始都是不被接受的,习惯就好了,想要所有员工都在安全的环境下工作,遵守所有安全的规章制度还有很长的路要走!

试想一个问题,如果你是老板,你会重视安全吗?安全如何赋能业务,为业务的发展保驾护航,而不是为了安全而增加业务的负担,阻碍业务的发展,这是一个难题,安全还有很长的路要走,不只是企业的事情,还有民众对安全的看法,国家对安全的重视,任何时候,安全都是必不可少的,安全同仁们一起加油吧!

来自:信安之路(微信号:xazlsec)

信安之路.png

推荐↓↓↓
黑客技术与网络安全
上一篇:骗子或许比你更了解网络攻防 下一篇:FeiFeiCms 前台逻辑漏洞分析