其他
每年的年底,都是各个部门向上总结、汇报当年工作成果的时候,安全部门也是其中之一。作为大家眼中的成本中心,做的好,往往意味着花钱也多,做的不好,往往意味着钱花的不值。对于企业内其他部门或岗位而言,会对安全部门的存在有着近乎天然的疑惑:安全部门的同事们每天在做什么工作?为什么我们已经有了测试部门,还要做安全测试?安全部门对于业务的发展和拓展有什么样的作?同样,作为安全工作的最高负责人(CISO或CSO),或安全部门的负责人(安全总监或安全经理),如何在年终汇报或向上汇报中体现安全工作的价值,不仅影响到管理层或其他部门对于安全工作的认识,而且影响到安全部门下一年工作的顺利与否,比如公司是否会增加到安全部门的资金预算和人员预算,是否会对安全工作提出更高的要求。最坏的结果是,企业管理层对于安全工作的不回应,这意味着对于管理层而言安全工作没有任何印象,也不抱有任何期待。企业中的安全部门其实是成本效益部门,也是业务支撑和运营部门,需要在保障业务开展的同时构建业务运行的安全保障体系,以及体系构建过程中尽可能的让企业打消对于安全工作“为什么这样”的疑虑。因此,作为安全负责人或管理者,职责包括:管理层的沟通资源、成本与预算管理信息安全政策制定法规与合规信息安全风险评估安全技术评估与选择安全培训与教育业务连续性安全事件应急响应供应链安全管理持续监控与改进但核心是需要将工作的结果或成果进行量化,如果无法量化安全工作的结果,那么无论是对于之后的安全工作,还是对于向上的工作汇报,都无法呈现相应的效果(怎么判断今年的工作比去年好,怎么判断明年相比今年要做哪些规划)。所以,安全工作汇报的核心在于成本效益和工作量化,并可以参考下面的模型评估安全工作的成熟度。上图中的成熟度类似于CMMI模型中对于项目成熟度的定义,不同之处在于过程的描述。安全工作建设过程中,上述所有的职责内容如果归纳为三类工作,是安全的意识、风险的管控和安全的能力。假设企业中每个人都具有完美的安全意识和行为,那么可以省去绝大多数日常的安全工作,因此无论在各种的安全模型和安全标准中,教育与培训始终是关键的工作之一,甚至是第一位的工作内容。而企业风险的来源,假设在某个静止的节点企业方方面面都不存在安全风险,那么风险的来源是源于企业自身的演变与更新,主要是业务变更所引起的资产变更、人员变更、系统变更等,而变更便容易失去安全的控制措施或手段,因而安全部门最大的难点是对于这些变更的未知和失控,尤其是企业内部发起某个保密项目的时候,安全部门的一切控制手段可能都会被排除在外,在非办公区的私人住宅里组织新的团队使用新的设备建设新的项目。上述成熟度等级中对于项目的描述,即是将企业内部的行为从项目角度划分后,安全工作对于相关项目的管控能力,包括系统的研发、资产的采购、人员的变更、网络的变动、资产的变化等等。能够达到等级3便代表着非常高的安全能力,而等级5则是更近一步能够对于企业的发展产生正向的、积极的作用。成本效益的含义正指的是,安全工作的成果一方面能够降低企业潜在的损失,一方面能够降低企业业务的成本损耗,甚至是直接的节约业务成本,比如,有的企业将业务系统交付给客户,由于客户对于待交付系统的安全要求或标准,导致系统退回重新进行安全能力的加强,从而增加了交付的周期和交付的成本,并影响到交付并发能力和人力资源的使用率,以及最终业务的年度规模。除此之外,对于以软件为主要业务的企业,也可以使用OWASP