写在前面
我的十多年信息安全职业生涯都是和安全漏洞有着紧密的关联的,甚至也可以说都是在围绕如何解决企业的安全漏洞所带来的风险的。当然,这里的漏洞其实更多的不仅仅包含传统意义上的技术漏洞,当然还包括企业管理流程、制度等方面的一些漏洞缺陷。企业安全工作的本质是控制风险,而对于企业来说信息化技术及管理流程制度上存在的漏洞是导致企业安全风险的关键因素。那么是不是我们也可以认为是否能够把企业安全工作做好,首先也取决于我们对于漏洞的认知?我想这是非常关键的因素。
企业安全工作中关于漏洞的三个关键认知
在企业安全建设场景中,如果我们想把一个企业的安全工作做好,我认为有三个关键认知要搞清楚:
1)哪些场景下容易产生严重安全漏洞:思考清楚这个问题,对于我们理解和搞清楚企业当下所面临的安全风险以及伴随着企业未来的战略规划会带来哪些潜在安全风险,便于我们做好企业安全工作的规划和布局;
2)如何最大化漏洞对企业的影响和价值:我们都知道任何一家企业都没办法消除掉所有的安全风险,就像我们每个人都没办法控制自己不生病一样,那么企业安全的关键问题就来自于我们要搞清楚所有潜在安全漏洞的最大影响和对企业的价值,然后我们一方面需要给企业的管理者说清楚这些潜在的影响,另外一方面我们需要对所有的风险来排优先级,在优先的资源情况下,合理的治理影响最大的风险。
3)如何高效地治理这些安全漏洞:规划、影响及价值都说清楚之后,最终落地的核心是要治理这些安全漏洞达到控制风险的目的。而这些漏洞我们通常可以从技术和管理上两个维度来解决。本质上都是事前控制它的发生,事中及时发现和处置,事后有成熟的响应的能力以将其造成的影响最小化,控制在企业能够接受的范围内。
以上是我们在开展企业安全工作的时候需要对安全漏洞思考的三个关键问题,当我们在从事企业安全治理工作时,我们需要结合企业的业务现状及对安全的认知来不断思考和完善我们对于这三个问题的认知,在此基础上开展企业安全建设工作。
那么,我想在5.1假期的最后一天晚上5月5日晚19:30,开一场直播来好好聊聊我对于这三个关键问题的认知,结合我过去十多年企业安全相关工作过程的中一些思考和大家一起聊聊,欢迎大家关注微信视频号【白帽子章华鹏】观看精彩内容。
