小公司的信息安全三板斧

以前写过这一篇,翻出来了,自己看一看,再想想,不同的环境下,现在应该用哪些板斧,解决当下的问题。

-

小公司,可能缺钱、缺人,而且大概率缺安全意识——总觉得黑客离自己很远,倒霉事不会落到自己头上。

二十年前,信息安全的倒霉事,确实多数人碰不上。但环境随时间流逝而变化。现在,骇客常常写了蠕虫全网传播病毒,不守好,就中招。现在,中国的法律法规逐渐完善,对数据、隐私、安全有了严格的要求,不守好,有法律责任。

随手列几个可供搜索的关键词:勒索病毒、财务诈骗、用户数据泄漏、数据出境……你可以搜一搜,搜过之后,将自己代入,考虑一下:如果是自己遇到这类事情,而且事前毫无准备,会怎样。

知识星球是小公司,且我曾在信息安全行业里摸爬滚打过一些年头,因此或许我这方面的三板斧,你可以参考。

工作一:梳理风险并分类。

我们的做法很简单粗暴,就将日常工作中发现的可能存在安全风险的地方都列出来,并且分到三大类中。这三类分别是:出事会死的、最好别出事的、无所谓的。

对我们来说,出事会死的至少有这么几项:资金(钱不能被偷走、不能错乱)、内容(社区类产品,内容安全是红线)、备份(业务数据不能坏、不能丢)、防黑(如果黑客轻易攻进来了,任何事情都有可能发生)。

工作二:针对出事会死的风险,探索行业最佳实践。

主要盯“出事会死”的,最好别出事的和无所谓的,都可以放后面。

拿知识星球来说,针对上面那些“出事会死”的事情,我们摸索了一些做法。

资金:用户方面,多种提现风控措施、审计方面多重多次对账。

内容:产品上有风控能力与策略,人员上有总编把握尺度,另外寻求合作伙伴的 AI、人力资源、培训等投入。

备份:对代码、文件、数据库均有增量、异地备份,且不定期做恢复演练。

防黑:这方面的技术工作比较多,比如安全域划分、漏洞管理、双因素认证、零信任网管、防病毒、渗透测试、众测、实时监测与报警、业务操作审计等——这方面要做,还是需要有专业人员把关。

因为明白了出事会死的几件大事,精力可以完全扑在上面。该找专业公司、团队服务就得找。

工作三:检查结果并持续改进。

所有出事会死的风险点,在一轮改进中,大概率仍然会留下漏洞,因此还需要检查、评估改进的效果。

然后,回到工作一,继续梳理当前最危险的风险点。如此循环往复。一轮一轮地优化——切记,不是做一次就能完美的。

最后,如果希望系统性地解决安全问题,那还是别用这三板斧了,建议老老实实找到专业公司,从资产盘点和风险评估开始,系统分析,整体解决。