信息安全,從亡羊補牢到未雨綢繆
第一部分我可以稍微總結(jié)一下,我覺得這是我們兩個比較關(guān)注的體系,但是大家找咨詢公司做咨詢體系的時候,你往往會被咨詢公司帶到別的體系上面去,比如說30001,最后就發(fā)現(xiàn)做不了,因為做的是全公司的業(yè)務(wù)連續(xù)性。還有幾個相關(guān)的體系,大家也可以逐步的去了解一下,但是一定要抓住根本。哪方面的專家就會愿意夸大哪方面的事情,但是多多少少這些體系都會相關(guān)到。
現(xiàn)在我們的數(shù)據(jù)資產(chǎn)有一個很大的變化,導(dǎo)致我們的信息安全也發(fā)生了很大的變化,也就是說信息安全的變化并不是獨立發(fā)生的,當(dāng)然我們也可以說因為政府強調(diào)網(wǎng)絡(luò)安全,我們的信息安全順便蹭個熱點,能問老板要到一點錢。但是它有一些本質(zhì)的東西,我們回顧一下信息化階段有什么特性呢?我們做了很多流程系統(tǒng),但是它和我們核心價值鏈的關(guān)系應(yīng)該說不是那么緊密,它不是直接對公司來說掙錢的。當(dāng)然現(xiàn)在我們有很多企業(yè)數(shù)字化已經(jīng)做了一些東西,它要么直接為企業(yè)帶來掙錢的東西,要么可以省掉錢,這個就有機會到了核心價值鏈上。但是在信息化階段的時候,我們可能還是輔助性質(zhì)的,也就是我們要讓管理透明化。所以所做的這些事情和業(yè)務(wù)之間還有一個隔閡,在看全業(yè)務(wù)的角度,我們會發(fā)現(xiàn)這些信息系統(tǒng)也都是待在公司的網(wǎng)絡(luò)里的,沒有出門,待在家里的有保護屏障的。雖然有大門到internet上去 也有很多公司加鎖,所以還是安全的。
現(xiàn)在我們的業(yè)務(wù)要到互聯(lián)網(wǎng)上,如果我們做的系統(tǒng)還是待在家里的,其實就沒有太大的變化。但是如果我們待在家里,我們就不能夠從互聯(lián)網(wǎng)這個大的經(jīng)濟體里去獲得更大的價值。我們要把應(yīng)用搬出去給到移動設(shè)備去用,而這些移動設(shè)備是給消費者使用的。這個過程真正的作用是說,我們要把企業(yè)里的價值一直交付到消費者手里,所以你必須在互聯(lián)網(wǎng)上進行交付。而互聯(lián)網(wǎng)為什么能夠支持這種交付呢?因為它經(jīng)歷了幾個過程,它從一個互聯(lián)的1.0、2.0、3.0,也就是從PC聯(lián)網(wǎng)、到移動聯(lián)網(wǎng)、到互聯(lián)網(wǎng),還經(jīng)歷了互動的1.0、2.0、3.0,原來的網(wǎng)頁到關(guān)注到點評到現(xiàn)在的社區(qū);ヂ(lián)網(wǎng)的特點帶來一個可能性,讓產(chǎn)品服務(wù)和客戶服務(wù)直接交付,這樣你就知道客戶需要什么,你就能夠把客戶的需要帶進公司里來,生成價值之后再交付給他。
基于互聯(lián)網(wǎng)這樣的一個特點,我們在原來的實體產(chǎn)業(yè)里面,我們就要向數(shù)字產(chǎn)業(yè)去邁進。而同樣的在數(shù)字產(chǎn)業(yè)里原生出來的企業(yè),它雖然在那里已經(jīng)圈了大片的地,但是它還是要往我們的實體經(jīng)濟滲透。最后讓數(shù)字經(jīng)濟和實體經(jīng)濟匯集成一個閉環(huán),這個閉環(huán)是什么呢?就是我們的客戶需求和我們的價值生成過程不斷的循環(huán)。正因為這樣的一個趨勢,所以我們相應(yīng)的信息安全也發(fā)生了一個變化,早期我們是保護靜態(tài)資產(chǎn),我們企業(yè)有設(shè)計、有圖紙,這是我們要保護的。但是接下來你必須要考慮的是,因為現(xiàn)在有一個界面一定是在互聯(lián)網(wǎng)上的,如果你不在互聯(lián)網(wǎng)上有一個你的產(chǎn)品界面或者服務(wù)界面,用戶就看不到你。不管是To C的還是To B的,這個時候意味著你必須要邁出家門,你保護的東西就發(fā)生了變化,至少它是在圍墻外面的。
再往后,如果我們進一步延伸,如果我們的服務(wù)能夠直接作用到消費者甚至對他的人生價值產(chǎn)生影響,這個價值是巨大的,它的風(fēng)險也是巨大的,因為它一定是在互聯(lián)網(wǎng)上的。這時候就會發(fā)現(xiàn)這個價值是往右手邊,大家的右手邊是價值生成的源泉,那里可以有柴米油鹽醬醋茶,還可以有琴棋書畫詩酒花,這個價值影響是巨大的。整個價值鏈的過程延展到了外面,而有利的地方是人人趨之若鶩的地方。信息資產(chǎn)和數(shù)據(jù)資產(chǎn)都在往外移、往互聯(lián)網(wǎng)上移,保護在家里的可能是一些基本的東西或者后盾的支撐供應(yīng)鏈運作的,而和消費者相關(guān)的、和客戶相關(guān)的都是在往互聯(lián)網(wǎng)上移的,至少這些信息和數(shù)據(jù)都是往外流動的才有價值。
我稍微說一點概念,就是我們傳統(tǒng)意義上說的信息安全指的是我們內(nèi)部的、內(nèi)網(wǎng)的,而且它對應(yīng)的業(yè)務(wù)是公司的信息資產(chǎn),就是核心知識產(chǎn)權(quán)。當(dāng)你跟客戶交易的時候,這個時候開始提數(shù)據(jù)安全,當(dāng)然我們也對著數(shù)據(jù)安全來做公司的工作,但是后來我們的項目失敗掉了,把這些數(shù)據(jù)挖出來做數(shù)據(jù)安全太費勁了,但是我覺得數(shù)據(jù)安全的點是在交易數(shù)據(jù)。這個時候把數(shù)據(jù)帶出來,再后面被習(xí)大大說成網(wǎng)絡(luò)安全是國家戰(zhàn)略,為什么是國家戰(zhàn)略?因為在那個虛擬世界里,它是一個全新的價值網(wǎng)絡(luò),這個價值網(wǎng)絡(luò)就像一片新大陸,大家都要沖進去,當(dāng)然都希望在里面定規(guī)則。所以不僅我們有網(wǎng)安法,到處都有網(wǎng)安法,GDPR,大家都在里面爭取定規(guī)則的權(quán)利。同時企業(yè)之間也想在這當(dāng)中謀利,這就導(dǎo)致信息安全的整個意義會有所轉(zhuǎn)變,也就是說它總是往價值鏈上面價值大的地方去傾斜。
總結(jié)一下我們過去這么多年的實戰(zhàn)當(dāng)中的要點,供大家參考,這也不是很全面的,只是我覺得當(dāng)時確實有很多迷惑的地方。第一,我們還是看一下全局,在這個全局里除了我剛才介紹的,我們要做風(fēng)險的管控,補救措施,而這個風(fēng)險大家會發(fā)現(xiàn)也有一些變化,在左邊我們可能更強調(diào)的是一個成本投入,就是我們要消減風(fēng)險。而在右邊是風(fēng)險大、收益大,有錢能使鬼推磨,你可以到右邊的互聯(lián)網(wǎng)世界里,有的人真的想違法,冒一點風(fēng)險,不僅是黑客,當(dāng)時法律也沒有規(guī)定,企業(yè)可不可以把用戶的數(shù)據(jù)賣掉,做一些謀利的事情,這個時候法律應(yīng)運而生。其實《隱私法》一直沒有推出,因為我們是合資公司,在外企都特別強調(diào)隱私保護,在我們這兒覺得好像沒有關(guān)系,所以這件事情一直沒有做起來。但是現(xiàn)在不一樣了,法律是應(yīng)運而生的,包括5月16日出臺的2.0,它一方面可以幫助我們企業(yè)提升我們的水準,一方面它也是要抓壞人的,我們不能做壞人,或者說做壞人風(fēng)險大,但是也可能回報大,這時候需要平衡一下。
還是回到我們的信息安全保護的基本方法論上,那就是我的題目,你要做必須要做亡羊補牢的事情,不能不做,不能出了問題也不管。但是還是要做風(fēng)險識別這個事情,這兩件事情是不分先后的,它們是互為因果的。我們做亡羊補牢的事情以后,可能會更加幫助我們意識到哪里的風(fēng)險更大,已經(jīng)發(fā)生的事情風(fēng)險概率是100%,你從風(fēng)險里面發(fā)現(xiàn)出來的風(fēng)險一定要把它補牢。你以前養(yǎng)乖乖羊,后面養(yǎng)千里馬,它肯定是要往外面跑的。
這里還有一個責(zé)任,這也是我的自身體會,監(jiān)管責(zé)任和主體責(zé)任基本上是不分的。還有安全服務(wù),這個也要做一定的界定。在資產(chǎn)識別上面有很多問題,比如ERP系統(tǒng)是不是資產(chǎn),防病毒是不是信息資產(chǎn),這涉及到對信息資產(chǎn)識別的時候的顆粒度問題,要把它看成一棵樹。從你的應(yīng)用、從你面向客戶的服務(wù)開始,比如說電商,你要把電商拆解到一系列的資產(chǎn)上面來,這才是一個資產(chǎn),一個軟件、一個版本就是資產(chǎn)。有一個樹狀結(jié)構(gòu),一定要做合并同類項,因為對同樣的問題它的風(fēng)險比較類似。網(wǎng)絡(luò)基本上都被合并成內(nèi)網(wǎng)、外網(wǎng)。
另外是主體責(zé)任,大家要記住主體責(zé)任。剛才說誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé),看你能不能跳到主管監(jiān)管責(zé)任,但是監(jiān)管責(zé)任也很重大,如果你沒有監(jiān)管到或者沒有導(dǎo)入一個有效的方法論讓整個企業(yè)運作起來,監(jiān)管責(zé)任可能更加重大。如果有能力,對主管部門提供一定的服務(wù),當(dāng)然要量力而行。這是三道防線。
最后是措施,技術(shù)+流程+責(zé)任意識,不是一般意義上的意識,我的安全意識很強是沒有用的,安全意識很強,出了事情都不是我的事情就沒有意思。我們的技術(shù)手段現(xiàn)在有一些趨勢上的變化,但是在做這么多事情的時候,一定要記住兜底的方案,小朋友都知道服務(wù)器倒了重新恢復(fù)的是最高優(yōu)先級的,這個是保證能睡覺的方案,是要最先做的,也就是容災(zāi)這個事情一定是最先做的。就算不做也要跟老板說清楚,我是管不了地震的,我是管不了洪水的,這個話是一定要去說的,不然的話隨便你發(fā)生什么事情的時候都是你的問題。
最后一頁是未來的展望,我覺得我們企業(yè)的可能從原來的泥巴里或者圍墻里走出來,在整個互聯(lián)網(wǎng)的世界里投入一個APP,把我們的價值實現(xiàn)點植入到互聯(lián)網(wǎng)里面去。它的構(gòu)成一定是IaaS、PaaS、SaaS的結(jié)構(gòu),其實我個人非常不認同混合云,不要拍我,這是我個人的觀點。我們要把我們的價值延伸到互聯(lián)網(wǎng)的世界里去,它在那里面和我們的客戶接觸到,然后再反饋回來,帶動我們的整個供應(yīng)鏈。所以信息安全要按照這樣的一個思路去梳理,找到自己的工作重點。謝謝大家!
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市