近些年,随着安全行业蒸蒸日上,越来越多的企业认识到安全对公司的重要性,也开始逐步建立自己的安全团队。但就目前国内的情况而言,由于所涉及的领域和知识背景的差异,导致企业的搞安全的和业务团队之间存在很多问题。
就拿产品上线问题,业务团队和安全团队经常存在歧义,业务团队认为安全团队小题大做、影响他们的业务,比如安全团队的一些策略影响用户体验,用户体验差就影响产品或者产品上线前夕面临诸多潜在安全问题,但为了正常上线,业务团队往往会选择忽略这些潜在的安全问题,所以俩团队间的沟通存在很大问题。
站在安全团队的角度上看,有安全问题的产品不应该上线,产品存在问题上线可能会对造成企业数据泄露等麻烦,并且业务团队的流程其实也存在漏洞,比如产品更新改代码不经过安全审核就上线,这导致新版本存在安全漏洞问题。
做安全的人容易把漏洞风险看的很高,这是业务部门所不能理解的,有些产品存在的安全问题在外人看来只是个小问题,但搞安全的很清楚一旦漏洞被他人利用会造成什么样的后果。不得不说的一个点是,在企业,业务部门的“地位”其实是要高于安全部门的,因为业务部门直接影响企业利益,这也并不意味着做安全的要低人一等,摆正地位,在力所能及的范畴内保证企业的安全。
协调好俩着之间的沟通其实也是有诀窍的,业务部门无疑更注重产品,这时候安全部门可以通过为其提出建议这种方式帮助业务的正常开展,并在保障业务正常的情况下把损失降到最低。而安全文化的建设能够帮助其他人能够更好的理解安全部门所开展的工作。
如何开展企业安全教育工作对于很多企业来说一筹莫展,因为缺乏经验和相关的安全人才。随着网络的普及,企业安全教育工作的开展是不能忽略的事。于其花重金开展毫无头需的安全教育工作,倒不如请专业的机构来实施开展。
更多安全意识知识,欢迎关注“享安全”公众号
来源:freebuf.com 2020-04-07 13:50:13 by: 大白haha
请登录后发表评论
注册