新思科技來(lái)支招

時(shí)間：2022-04-30 21:00:01 | 來(lái)源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-04-30 21:00:01 來(lái)源：行業(yè)動(dòng)態(tài)

為了解決面臨的安全挑戰(zhàn)，企業(yè)應(yīng)該創(chuàng)建數(shù)據(jù)安全策略和框架，多部門(mén)協(xié)作共同保障數(shù)據(jù)安全。

新思科技通過(guò)執(zhí)行BSIMM評(píng)估幫助客戶制定數(shù)據(jù)安全戰(zhàn)略?；贐SIMM的結(jié)果，新思科技可以提供一個(gè)成熟行動(dòng)計(jì)劃（MAP），為企業(yè)的安全和開(kāi)發(fā)團(tuán)隊(duì)提供行動(dòng)路線圖，對(duì)癥下藥，應(yīng)對(duì)應(yīng)用安全挑戰(zhàn)、達(dá)成目標(biāo)。作為整體安全計(jì)劃的一部分，這可能包括企業(yè)應(yīng)部署的具體的行動(dòng)和工具。

Ian說(shuō)，如果一個(gè)企業(yè)處于創(chuàng)建自身安全戰(zhàn)略的起步階段，那么建議他們學(xué)習(xí)其他企業(yè)的先進(jìn)經(jīng)驗(yàn)。開(kāi)放的框架，比如軟件安全構(gòu)建成熟度模型（BSIMM），是很好的參考。企業(yè)可以將BSIMM作為一把標(biāo)尺，衡量自身的安全計(jì)劃，經(jīng)過(guò)深思熟慮后決定將有限的時(shí)間和精力投入到哪些安全項(xiàng)目，或者哪些安全項(xiàng)目可以中止。

最新的BSIMM11反映了觀察到的130家公司的軟件安全活動(dòng)，覆蓋多個(gè)垂直行業(yè)，包括金融服務(wù)、金融科技、獨(dú)立軟件供應(yīng)商（ISV）、云、醫(yī)療保健、物聯(lián)網(wǎng)、保險(xiǎn)及零售等。而B(niǎo)SIMM12將于今年第四季度發(fā)布。

企業(yè)的安全機(jī)制是自上而下的。因此，高管將安全計(jì)劃定調(diào)很關(guān)鍵。當(dāng)談到安全問(wèn)題的時(shí)候確定好企業(yè)內(nèi)每個(gè)人的角色和職責(zé)十分重要。明確責(zé)任能夠減少分工模糊，同時(shí)使團(tuán)隊(duì)更加有行動(dòng)力和創(chuàng)造力。盡管組建強(qiáng)大的安全團(tuán)隊(duì)，設(shè)立規(guī)則，確保合規(guī)性和管理安全設(shè)施很重要，但是應(yīng)用安全（AppSec）的一個(gè)趨勢(shì)是讓工程團(tuán)隊(duì)起到更大的作用。

在Ian看來(lái)，將應(yīng)用安全（AppSec）融入整體安全戰(zhàn)略十分重要。因?yàn)槊總€(gè)企業(yè)都在開(kāi)發(fā)、定制或使用某種類型的軟件，如果這些軟件不夠安全的話，攻擊者就會(huì)很容易入侵并盜取機(jī)密信息。DevSecOps是指在DevOps環(huán)境中融入安全，兼顧速度與安全，安全策略需要包含廣泛的自動(dòng)化流程。隨著安全工作逐漸轉(zhuǎn)向工程團(tuán)隊(duì)，軟件安全團(tuán)隊(duì)現(xiàn)在通常向首席技術(shù)官（CTO）匯報(bào)，而不是首席信息安全官（CISO）。

首席信息安全官（CISO）的主要職責(zé)之一是保護(hù)其公司的重要數(shù)字資產(chǎn)，包括企業(yè)知識(shí)產(chǎn)權(quán)，例如專有源代碼和其它專利技術(shù)和機(jī)密信息。隨著數(shù)據(jù)隱私條例陸續(xù)頒布，CISO還需要保護(hù)用戶數(shù)據(jù)，包括個(gè)人身份信息、健康信息、支付卡數(shù)據(jù)等。

CISO需要與不同崗位的同事協(xié)作，包括數(shù)據(jù)保護(hù)、IT基礎(chǔ)設(shè)施、合規(guī)性和軟件開(kāi)發(fā)部門(mén)等，以確保遵守?cái)?shù)據(jù)保護(hù)和隱私法律、標(biāo)準(zhǔn)和指南。

安全問(wèn)題一直在變化。今天部署的安全計(jì)劃不一定能應(yīng)對(duì)往后的風(fēng)險(xiǎn)。趨勢(shì)也變化莫測(cè)，因此企業(yè)需要將眼光放長(zhǎng)遠(yuǎn)，有前瞻性。比如說(shuō)，現(xiàn)今容器化是十分流行的概念，但當(dāng)企業(yè)實(shí)現(xiàn)了容器化后，是否做了評(píng)估來(lái)決定是不是要采取新的行動(dòng)呢？如果使用編排，默認(rèn)提供什么樣的安全以及該平臺(tái)的用戶需要做什么？企業(yè)應(yīng)該尋求安全專家的幫助，一起在軟件安全的道路上披荊斬棘，眾行至遠(yuǎn)。Ian最后說(shuō)。