近些年,隨著安全行業蒸蒸日上,越來越多的企業認識到安全對公司的重要性,也開始逐步建立自己的安全團隊。但就目前國內的情況而言,由於所涉及的領域和知識背景的差異,導致企業的搞安全的和業務團隊之間存在很多問題。
就拿產品上線問題,業務團隊和安全團隊經常存在歧義,業務團隊認為安全團隊小題大做、影響他們的業務,比如安全團隊的一些策略影響使用者體驗,使用者體驗差就影響產品或者產品上線前夕面臨諸多潛在安全問題,但為了正常上線,業務團隊往往會選擇忽略這些潛在的安全問題,所以倆團隊間的溝通存在很大問題。
站在安全團隊的角度上看,有安全問題的產品不應該上線,產品存在問題上線可能會對造成企業資料洩露等麻煩,並且業務團隊的流程其實也存在漏洞,比如產品更新改程式碼不經過安全稽核就上線,這導致新版本存在安全漏洞問題。
做安全的人容易把漏洞風險看的很高,這是業務部門所不能理解的,有些產品存在的安全問題在外人看來只是個小問題,但搞安全的很清楚一旦漏洞被他人利用會造成什麼樣的後果。不得不說的一個點是,在企業,業務部門的“地位”其實是要高於安全部門的,因為業務部門直接影響企業利益,這也並不意味著做安全的要低人一等,擺正地位,在力所能及的範疇內保證企業的安全。
協調好倆著之間的溝通其實也是有訣竅的,業務部門無疑更注重產品,這時候安全部門可以透過為其提出建議這種方式幫助業務的正常開展,並在保障業務正常的情況下把損失降到最低。而安全文化的建設能夠幫助其他人能夠更好的理解安全部門所開展的工作。
如何開展企業安全教育工作對於很多企業來說一籌莫展,因為缺乏經驗和相關的安全人才。隨著網路的普及,企業安全教育工作的開展是不能忽略的事。於其花重金開展毫無頭需的安全教育工作,倒不如請專業的機構來實施開展。
更多安全意識知識,歡迎關注“享安全”公眾號