FreeBuf甲方群讨论 | 企业安全的价值到底该如何度量?
2021-12-24 16:50:42 Author: www.freebuf.com(查看原文) 阅读量:10 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

临近岁末,一年里行业所经历的风风雨雨终将过去,有人比喻到,安全就是桥两边的护栏,不出事谁也感受不到它的价值,没有又觉得不踏实。确实,基础性的安全体系建设效果,脱离了事件往往很难具体量化,但黑暗森林法则似乎告诉我们,只要洞悉到你的存在,被盯上、被攻击将迟早成为必然。那么企业安全的价值到底该如何度量?本期甲方群话题就以此展开讨论:

在企业常用的数据安全、基础攻防等方面,到底应该怎样衡量其安全效果?

(本文所有ID已做匿名处理)

@风逍遥

企业安全的价值细分就是具体信息数据的价值。机密性,完整性,有效性被破坏以后的损失。传统做法就是数据分类,风险评估。

......

按业务和数据重要性,如果数据是直接影响到公司营收的那么肯定价值偏高,所对应的安全价值也高了,安全投入也要高。如果你这个数据是内部系统的,安全价值也低了。

@非然踏古

数据安全、基础安全,可能你什么都不做,一年也都不出问题,也可能你花了很大力气,花了很多钱,却还是出了很多问题。。。

@北城

想再企业搞安全建设,需要遵从老板认可的标准,不然没法做

@西城周润发

很难衡量,这个给不了价值范围,只有被攻击时候产生的损失能够看出来。比如模拟演练下,整个办公室断网1小时、 半天的损失情况;财务领导电脑中毒打不开,一天工作量损失情况;档案管理同事电脑打不开,D盘里存的资料损失情况。

@北城

国企、私企,按着等保要求来,外企国外有标准。

@小楼

对国企而言,监管合规不被通报,就是安全的价值。

@风逍遥

衡量效果一般都是对比。比如你说安全意识,我们都是培训以前钓一次鱼,安全意识培训以后钓一次鱼。对比下数据。或者看用户上报钓鱼邮件的ticket数量。汇报就是今年用户反馈钓鱼事件比去年提高了xx%。

@小楼

但实际安全的价值,在于全员参与,人人提高安全意识,紧贴业务,保障公司业务、战略高速发展,不拖后腿即可。

@风逍遥

这个安全价值在CISSP里面有大量的章节说这个内容,比如营收、企业声望(搞安全的比如被攻击了、比如fireeye,那么你行业声望肯定低了)、安全收益、风险价值一系列的。

@东临碣石

企业安全总体愿景->安全目标->差距分析->建设计划,总量不变的情况下,只能选择优先级进行建设。

效果在建设计划里面就设定了具体的量化指标。

@非然踏古

关于安全预算,之前我看有大佬说要分成三份:外部情报收集,包括众测和SRC建设;安全感知系统建设;防御系统建设。

@胡

补充一点,安全的价值是在发生安全事件的时候有一套方法论去处置、应急,而不是坐地发呆,手足无措。这几年看到了有的兄弟单位手足无措,疯狂打电话找外援的样子,很心疼。

@风逍遥

这就是缺少应急处理流程:检测>响应>缓解>报告>恢复>修复/整理>经验教训。

@东城逍遥游

这个是通过应急响应来度量安全的价值上。

@北城

流程其实有时候没啥用,安全问题导致系统奔溃,领导关心的是什么时候能恢复,不会关心流程是不是正确。如果5分钟就恢复,没流程也问题不大。

@风逍遥

可能企业风格不一样,外企领导就是关心我们整个流程是不是正确。每一步有没有实施。恢复的时间是不是按照原来计划定义的。

外企一般都会定义故障恢复时间,业务恢复时间等一系列指标。根据指标来决定流程。比如供应商到现场时间,备用设备到的时间。安全事件发生的时候,无非就是走一遍流程,处理不掉就升级,最后无非就是启用灾难恢复。

@随风起

外企相比国内更加注重业务的连续性,国内更加注重事件影响的大小。

@东城逍遥游

一个是根据安全事件体现价值,一个是通过处理速度来体现价值。

@只是简单说句话

安全价值或者收益,我觉得有几个方面:

1、保障生产安全稳定运行;

2、做好主动防御,防患于未然;

3、提高全体信息安全意识,做好意识宣贯,减少员工被钓鱼或泄露敏感数据;

4、做好内审,充分发挥1.5道防线职责;

5、健全规章制度,为员工行为提供指导和规范;

6、积极响应国家和监管政策,从容面对外部审计;

7、数据资产保护应急到位,维护企业品牌价值;

8、对自身工作亮点进行“包装”,高举高打,提高企业在业内知名度。

@桥某人

之前看到宣传做的好的,总结是写修复了多少漏洞,为公司避免了多少万/亿的损失这种。

@东城逍遥游

修复漏洞,阻止了多少次攻击, 都可以写上去,不过预防了多少的损失,这个就不好界定了 。

@非然踏古

说避免了多少损失有时候很主观,真要检验成果的话,搞搞红蓝军对抗其实也可以。

@随风起

可以搞搞蜜罐,给领导多层面分析一下。

@巧克力不旷课

单纯写阻止攻击其实不太有用,要说现在业务系统原先多少受影响的,在安全的努力下有还剩多少没修的,安全做了哪些工作进而避免损失加剧,给业务部门争取了多少修复时间。

本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码申请加入FreeBuf甲方群,小助手周周送福利,获取最新行业秘籍,还不赶快行动?

如有疑问,也可扫码添加小助手微信哦!


文章来源: https://www.freebuf.com/articles/317375.html
如有侵权请联系:admin#unsafe.sh