纯当写给自己看吧。
第一问:创业公司的信息安全工作,到底应该先建设还是先抗风险?
建设指的是体系化建设,根据等保或27001,有成熟的方法论、实践经验可供借鉴,防护比较全面,且落地路径相对明确。但缺点是成本高,耗时长,动辄1-3年,体系深化再3年,好不容易搭起来运营体系,要么是技术更新,要么是效果不显著。
抗风险指的是填坑,就是现在眼前已经可以看到的问题。比如你受到了web攻击,去分析攻击造成了什么影响,如何去解决。更像是灭火?
或是现在基础防御手段都还没有,领导指示,说我们数据很重要,要优先做数据安全和应用安全,基础架构层的安全先不投入。
这个有标准答案吗,就像远虑和近忧。近忧更像是生存问题,如果不解决,很可能面临直接影响,关系到自己能否继续干下去。远虑则考虑的是现在不管不顾埋下的安全债务,以后可能得花多倍的时间去弥补,且不一定有办法弥补。比如给未来挖坑,长远下去填不干净也完蛋。
所以大部分在甲方做安全的人都是在二者之间找平衡,甚于还要和资源(人力、成本)、收益一起做动态平衡。COBIT的方法论在这里是否适用?
第二问:漏洞是从源头预防好,还是从结果检测好?
源头是指的在开发过程增加安全手段,比如SDL、代码检测等。即通过SDL从开发过程把漏洞率降到最低,不只是解决编码级别的漏洞,同时通过威胁建模和安全设计解决架构级别的漏洞。这种观点基于的背景是出现了漏洞早晚是要修的,与其被动救火,不如在生命周期的前端卡位,晚修不如早修。
结果检测更多是在运维环节(上线环节),去发现问题,如入侵检测、渗透测试。即根据被利用的状态反推漏洞的出处,然后去修补,它并不覆盖研发过程。
似乎大部分的甲方安全从业人员都在使用后者,原因也是多方面的,一是技能受限,没做过开发的安全工程师不一定具备指导开发完善开发流程的能力。二是推动起来的阻力,开发和安全是不同部门,说的并不是一种语言,关注点并不一样。而运维部门跟安全有更多类似的经历,甚至KPI都相互绑定,拿着检测的结果去推进整改也会更简单。
第三问:安全7分管理3分技术?
至少没看到哪个公司的安全人员配比是这么配比的,一般都是安全技术人员多于安全管理人员。但创业公司的安全工作又该如何配比?
先写到这,下次继续完善。
扫一扫
340
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
