互联网企业安全高级指南3.14 TCO和ROI 50-阿里云开发者社区

开发者社区> 华章计算机> 正文

互联网企业安全高级指南3.14 TCO和ROI 50

简介:
+关注继续查看

3.14 TCO和ROI


企业安全建设本质上不是一个可以通过完全量化的指标来衡量建设得好与坏以及能力成熟度的事情。安全是一个永无止境的投入,永远都没有办法提出一个清单,说这里面的条目你都做到了,安全就很好了。也是为什么等级保护、ISO27001、PCI-DSS这类企业认证可以用来装点“门面”,在广告、营销、融资、上市公司内控等环节告诉公众自己是有那么一点安全能力的,但是永远都不可能说我是无懈可击。某些老板在台上走秀时吹牛的情节请自动忽略。安全建设的好坏不只是依赖于安全团队的强弱,还跟安全建设本身所消耗的金钱和资源有关,大多数企业都不是土豪级的公司,拿业界最佳实践来衡量都缺少前提条件,业界最佳实践可以是安全团队自己的追求,但不是安全团队工作成果的评价标准,因为现实中不可能消耗那么多钱用于安全建设,而一定是根据企业所处的阶段投入到应景的程度适可而止,如果这个时候某些砖家一定要拿什么能力成熟度模型来评估,说结果不好看,你可以很理直气壮的告诉对方从现实的角度出发无可厚非,什么阶段就是应该做什么事,拿个互联网行业千亿美金市值的公司来“套”大多数公司纯属无脑行为。

可用于评价安全建设做的好与坏的唯一标准就是ROI,用什么样资源(TCO)产出什么样的安全效果。能力平庸的CSO可能建了很大的安全团队也还是频出安全事件,团队中不乏张口就是“七分管理,三分技术”的那类人,而面向实操干活的人却是少数且没有地位的工程师,即便有学习能力不错的工程师也没法系统化的组织他们的工作,任其自生自灭。还有的公司不缺干将,但是招了牛人却只做救火之用,到头来的产出和一支没有牛人的团队相差无几。思路清晰的CSO即便自己不充当工程师的角色,也能以一支精锐小团队覆盖企业中绝大多数安全环节。

在互联网公司,安全负责人最可能影响ROI的几个因素如下:

缺少系统化蓝图,对安全建设的全局以及分解后的轻重没有感性认知,这是最可能导致头痛医头脚痛医脚的原因。

对管理体系和工具链建设没有整体认知,选择在错误的时间点做正确的事。

把安全工作当成checklist而不是风险管理工作,凡事要求绝对安全而不能接受相对风险,对下属求全责备,大概只有外星人能满足这种需求。

弱于判断安全建设在实践环节的好与坏,搞不清楚某个安全机制在业界属于落后水平,平均水平,还是领先水平,以及某种安全机制对于削减某类风险的作用强弱,容易被执行者忽悠。带来的结果就是貌似很苦很努力,但收效甚微。

个人的职场步调与公司发展的阶段不一致,公司处于快速扩张时期,而安全负责人本人则采取保守谨慎的策略。

只务内勤,不管外联,不重视生态关系建设。最后导致小问题,大影响。

作为一个风险管理型的角色,而不是直接产生利润的职能,其管理向上沟通可能会有一定的难度,在风险取舍方面跟上下左右达成一致也需要提前沟通好。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Hadoop - 企业级大数据管理平台CDH(HA高可用和Sqoop1)
在使用大数据集群的时候容灾是一件很重要的事情,CM可以非常方便的进行HA配置,CM也支持sqoop1和sqoop2,之前已经配置了sqoop2本节来一起配置sqoop1
144 0
《工业控制网络安全技术与实践》一3.2.1 高级持续性威胁攻击
本文讲的是工业控制网络安全技术与实践一3.2.1 高级持续性威胁攻击,本节书摘来华章计算机《工业控制网络安全技术与实践》一书中的第3章,第3.2.1节,姚 羽 祝烈煌 武传坤 编著 译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1404 0
让黑客无隙可乘——企业级Web网站安全解决方案揭秘
在3月10日举办的阿里云网站热点研讨会上,阿里云资深安全业务架构师蕴藉就网站Web应用的安全性及业务可用性进行了一系列细致的讲解和介绍,接下来我们就来共同了解一下他分享的内容。
12461 0
DDoS攻击日益加剧,互联网企业该如何应对?
最近这几年,对我们的生活影响最大改变最多的就是互联网。互联网的不断发展在给人们带来各种便利的同时,也带来了各种网络安全威胁,网络攻击从互联网诞生开始就从未停止。DDoS攻击是目前互联网上最常见的一种攻击方式
1433 0
阿里云企业级服务器怎么样?是否能满足高并发计算等需求?
阿里云企业级服务器怎么样?是否能满足高并发计算等需求?阿里云提供10大类等计算实例满足不同阶段的业务需求今天我们就来说下这10大类企业级X86计算通用型:CPU与内存比为1:4,适合各种均衡资源消耗应用场景。
1582 0
前沿分享|阿里云数据库高级技术专家 宋利兵:阿里云企业级自治数据库RDS详解
本篇内容为2021云栖大会-企业级云原生数据库最佳实践论坛中,阿里云数据库高级技术专家 宋利兵关于“阿里云企业级自治数据库RDS详解”的分享。
172 0
远程办公安全威胁升级,疫情下企业如何自保?
以IDaaS(统一身份认证服务)为核心,阿里云云盾提供的零信任安全解决方案基本完整,类似谷歌的BeyondCorp简化版本。通过Agent终端管控,SPG(Service Provide Gateway)应用接入,和IDaaS身份认证齐头并进,可以提供灵活的组合方案从而满足企业的要求。
289 0
10059
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载