如何确保企业安全投入?
这个问题很有趣,其实问的是如何让企业主/投资人认同网络安全很重要并且愿意为此投入资源(人力、财力)。我分别以从事网络安全行业多年的经验和曾经作为企业投资人的经历来回答这个问题。 作为一个从业人员,我的态度是,在力所能及的范围内,把安全问题优先级提高,并以此做出合理的预算和方案来保障安全。当然这里需要考虑两个问题,一是安全预算占整体预算的比例,二是这个比例是否会随着项目的进行而进行调整。
作为一个投资人,我的经验则是恰恰相反,我会尽量把安全预算压缩到最少,因为我认为安全是个可有可无的东西,能节约成本最好不过。但如果项目面临的安全威胁明显且严重,为了降低风险也会增加安全预算。但无论怎样,我都会仔细算了一笔账——多花的这些钱是否真的值得。 回到题主的问题,我认为可以分三部分来解决:
一、让老板意识到安全的重要性;
二、让老板明白目前面临的威胁有多大;
三、让老板知道如何低成本地解决这些问题。 一个好的安全运营团队会帮助客户解决这三个问题,但是需要客户首先认识到这三个问题的存在。否则不管如何努力,都是徒劳。 曾负责过某大型互联网公司安全运营的同事告诉我,他们遇到的新项目第一个要做的不是开展任何工作,而是先跟甲方确认三个问题:
1.是否重视安全?如果重视程度达不到预期,项目难以推进。
2.是否有足够的人力支持?如果没有,如何解决?人力不足导致的漏洞是无法完全弥补的。
3.资金是否充足?如果不充足,哪些地方需要节约?什么可以省略?毕竟金钱和时间都是有限资源,必须有所取舍。 除了跟甲方沟通外,做好内部工作,让技术团队对安全重要性深入人心同样重要。比如定期组织培训,让每一个技术人员掌握最新的攻击手法和防御策略,随时更新知识库。同时让技术人员了解自己所承担的责任,增强其责任感也很重要。 另外,一个好的安全产品可以提供全方位的安全防护,减少用户的风险,但这只能减轻安全工作的负担,并不能从根本上解决问题,加大安全投入,加强员工安全意识培养才是关键。