今天说点有趣的话题,也是因为在安全建设过程中,安全员也不太可能都按照最理想的状态去工作,有资源的问题,有管理惰性问题,当然也有管理者本身决策的问题。
安全行业起步较晚,16年才施行网络安全法,21年数据安全法才出炉,虽然经历过乙方厂商的大量宣传,但是你要说五六十岁的管理者很熟悉它,那也是不可能。甚至四五十岁的中层都不一定有多少了解。但是他们掌握着最终的决策权。
一.为什么安全做不好,高级管理者要承担主要责任?
1.管理者不知道"假想敌"是谁
大多数企业决定设立安全岗位,不是被相关部门通知了,就是自己中了勒索这种导致业务受影响。再不就是和同级别的人交流过程中,有人说安全很重要。
管理者大多数都不知道企业的信息安全的真正敌人是谁,曾经有老板和我说他想防御APT攻击,其实他的企业根本没有APT攻击的痕迹,但是当时(2022年)某工大遭受APT的新闻报出来,结果他就觉得很重要,我跟他说防御APT的建设可以做,先给我300万的前期预算。结果他就不说话了。后来经过深入了解,该老板说他担心的其实是数据泄露,我说那你的"假想敌"就是你的员工本身了,主动或者被动泄露企业数据。
安全建设一般情况不太可能因为有具体的安全隐患才要建设,所以"假想敌"建设就尤为重要,不同的假想敌,安全建设的方式可以有不同,这一点的管理者要注意。
2.管理者不会选安全人才
首先安全也是一个相对庞大的领域,工作内容来分可以分为安全管理,安全技术,安全审计。这些都需要不同的特性人才,也许有一个人同时具备这些能力,但是还是比较凤毛麟角,企业再选择人才的时候,也不要盲目的信任所谓大厂出来的,因为每个公司的"假想敌"并不一致,换一个公司,他的那套经验不一定合适,要选择能举一反三的人才,可惜大多数人都是经验工作者,反三对他们来说太难了。
关于如何选择人才我也说不出一二,因为我如果谁哪家企业出来的管理者不行,人家也可以说我不行。这就成踢皮球了,那么怎么才能评价这个人行不行?接着看!
3.管理者不会评估自己企业安全做的好不好
我当然不是说高级管理者需要亲自去评估企业安全状况是不是优秀,而是说高级管理者所知所得皆是下属汇报。如果一个安全员擅长向上管理,只说好话,作为高级管理者,是不是就认为自己的企业安全建设很优秀?是不是就高枕无忧?
目前的情况是,几乎100%企业的高管不懂得判断自己企业的安全做 的好不好,这就给安全负责人留下了很多操作空间,出了安全事故不问缘由的惩罚,不出事故则不管不问。当然也有管理者角度如何评估企业安全建设好不好的方式,看我以后的文章!
4.不会花钱
我看到过不少企业花钱买一堆设备扔着不上电,也见过不少企业买的安全设备太辣鸡无法使用,也见过重复购买安全设备,或者安全设备没买到点子上。或者就买最低配,结果只有最基本的杀毒功能,浪费钱。如何花钱采购设备其实也是一门学问,花多了可惜,花少了解决不了问题。怎么花钱以后也会进行讨论
二.安全建设应该一视同仁吗
我相信大家看到这个问题,都会说不应该,因为作为辩证法来分析问题,都知道这是正确答案。但是实际的安全建设,安全策略过于单一,一视同仁的事比比皆是。是能力不够吗,肯定不是。是管理惰性吗,多半是。举个例子:
某公司为了防止公司资料泄露,要求所有员工电脑的文件落地加密。这可苦了公司的业务人员王经理,因为他经常需要给客户提供资料,而且资料解密申请时间又不固定。于是他和同事行政小李吐槽加密策略太难受,小李则说完全没影响啊,你就是要求高。王经理感觉老板不信任自己。
更多的例子比比皆是,大家可以自行思考。那么安全策略要怎么设置呢
1.分人
研发人员,业务人员,职能人员,人事,财务人员等等要进行建设区分,杀毒策略,数据安全策略,互联网访问策略等等,
2.分类
完全可公开数据,部分可公开数据,研发数据,经营数据,其他数据、业务系统、对外服务系统、内部系统等等,要分类进行安全建设
3.分级
信息化系统要分级、数据要分级、员工要保密分级、部门要分级、不同级别采用不能的安全建设策略和手段。
具体建设以后会有相关文章
三.总选择单一供应商来源的安全产品有没有猫腻?
先来看个案例:
公司新招来一个安全员小李,小李看到公司使用供应商A家的防火墙,直接做采购计划预采购供应商A家的杀毒,流量探测,数据安全产品等等,采购部的张经理感觉不太正常遂告知老板,老板也开始怀疑起小李是否有个人利益夹杂在里面。
实际上大家在日常工作中,涉及到采购,都比较避讳这个事情,连续采购同一个供应商的东西谁也不敢呐。
但是如果你作为安全员中途入职一家公司,你做安全建设,肯定要在之前的安全建设上进行增量补充,这个时候,如果他们采购了某个公司的产品你还真没有太多的选择。为什么?
1.同一家厂商的安全产品具有更好的联动效果
防火墙,态势感知,EDR,杀毒如果是同一家的厂商的设备往往具备最优的联动效果,事件响应可以达到秒级,人工则最快30分钟,企业日常管理一般为4个小时。不同家的产品因为数据孤岛,甚至都不能有效使用。
2.更好的时间聚合
安全事件分析的好坏取决于事件聚合,同厂家的各种设备从架构设计上具备最好的事件聚合能力,不同厂家人工聚合,时间消耗极大,甚至根本做不到聚合,尤其是行为告警,比如EDR,XDR这种行为,单一的事件来看,很大概率是误判,需要聚合很多信息综合判断,这个时候,人工就显得很无力。
四.安全建设和信息化建设的目标一致吗?
肯定是不一致的,毋庸置疑,但是安全部门往往在信息化部门下面,有点奇怪吧,其实很多厂商安全部门已经不在信息部下面了,因为他们清楚,两个部门的目标根本不一致。
信息化建设的目标是提高工作效率,节约环保,提高信息资源利用率等等,但是信息安全建设主要是是通过损失一定比例的资源或者提高一些资源的消耗,来预防可能会发生的重大风险。这就导致安全建设一定会降低工作效率(不要反驳,反驳就说明工作没干到位)增加业务复杂度(各种签批),增加资源消耗(各种设备)提防各种非预期的数据传播等等。
如何做好信息化和信息安全两者之间的平衡,其实需要很高的水平,如果能平衡好,绝对是大师级人才
五. "少说多做"这样干安全行不行?
行,非常行,现在各种OKR ,KPI,导致大家恨不得每分钟都在做输出,而闲聊则被老板视为偷奸耍滑,开会则是浪费大众时间。看个案例:
员工A干活踏实少说多做,领导甚是喜欢,面对用户矛盾总是耐心解释,就这样还经常有用户投诉,努力维持平衡的他感觉身心俱疲,领导也觉得员工A好是好,就是很多问题解决不了。 员工B则是多说少做,在领导眼里天天开会,不干啥事,同事也觉得他总是不做事,但是员工B职责内的工作,几乎不和用户部门产生矛盾。
安全建设的宣传意义,在我的眼里是大于做产品,大于做安全策略的意义。首先企业最大的漏洞风险来自于弱口令,不信可以去查。其次企业最大的数据安全风险来自于员工泄露,不信也可以去查。这两项可都是人是主导因素的,什么黑客攻击,网络攻击,病毒攻击等等都得往后排。
可以用安全设备来纠错人的问题,但是同时开展不好么,或者在金钱资源不足的情况下,多废废口舌,性价比不高么。
毛主席在搞革命的时候,都设立政委,努力搞部队宣传,我们做安全的,多和各部门开开会,不应该么。
安全建设经常要逆着人性要求别人这个要做,那个不可以做。用户部门肯定有怨言的,多沟通,多开会,互相理解方为上策。而且一定是有事情靠设备是实现不了的。靠高压管理容易引起矛盾的。作为安全管理者,作为高级管理者,作为老板,不要认为钱到位就能解决一切,也不要认为高压下,你的企业就会太平。曾经有人说某快递公司安全做到好,这个权限要申请,那个权限要学习通过才给,定期还要考试什么的。真的好么?员工是有多开心才会配合你做这种事情。毛主席的部队军饷都不用发就跟着闹革命。你工资差一点你看看你的员工还在不在乎你的安全管理要求。
如果觉得我说对,关注我,后续会更新各种安全建设的实际有用的知识。