新思科技来支招
时间:2022-04-30 21:00:01 | 来源:行业动态
时间:2022-04-30 21:00:01 来源:行业动态
为了解决面临的安全挑战,企业应该创建数据安全策略和框架,多部门协作共同保障数据安全。
新思科技通过执行BSIMM评估帮助客户制定数据安全战略。基于BSIMM的结果,新思科技可以提供一个成熟行动计划(MAP),为企业的安全和开发团队提供行动路线图,对症下药,应对应用安全挑战、达成目标。作为整体安全计划的一部分,这可能包括企业应部署的具体的行动和工具。
Ian说,如果一个企业处于创建自身安全战略的起步阶段,那么建议他们学习其他企业的先进经验。开放的框架,比如软件安全构建成熟度模型(BSIMM),是很好的参考。企业可以将BSIMM作为一把标尺,衡量自身的安全计划,经过深思熟虑后决定将有限的时间和精力投入到哪些安全项目,或者哪些安全项目可以中止。
最新的BSIMM11反映了观察到的130家公司的软件安全活动,覆盖多个垂直行业,包括金融服务、金融科技、独立软件供应商(ISV)、云、医疗保健、物联网、保险及零售等。而BSIMM12将于今年第四季度发布。
企业的安全机制是自上而下的。因此,高管将安全计划定调很关键。当谈到安全问题的时候确定好企业内每个人的角色和职责十分重要。明确责任能够减少分工模糊,同时使团队更加有行动力和创造力。尽管组建强大的安全团队,设立规则,确保合规性和管理安全设施很重要,但是应用安全(AppSec)的一个趋势是让工程团队起到更大的作用。
在Ian看来,将应用安全(AppSec)融入整体安全战略十分重要。因为每个企业都在开发、定制或使用某种类型的软件,如果这些软件不够安全的话,攻击者就会很容易入侵并盗取机密信息。DevSecOps是指在DevOps环境中融入安全,兼顾速度与安全,安全策略需要包含广泛的自动化流程。随着安全工作逐渐转向工程团队,软件安全团队现在通常向首席技术官(CTO)汇报,而不是首席信息安全官(CISO)。
首席信息安全官(CISO)的主要职责之一是保护其公司的重要数字资产,包括企业知识产权,例如专有源代码和其它专利技术和机密信息。随着数据隐私条例陆续颁布,CISO还需要保护用户数据,包括个人身份信息、健康信息、支付卡数据等。
CISO需要与不同岗位的同事协作,包括数据保护、IT基础设施、合规性和软件开发部门等,以确保遵守数据保护和隐私法律、标准和指南。
安全问题一直在变化。今天部署的安全计划不一定能应对往后的风险。趋势也变化莫测,因此企业需要将眼光放长远,有前瞻性。比如说,现今容器化是十分流行的概念,但当企业实现了容器化后,是否做了评估来决定是不是要采取新的行动呢?如果使用编排,默认提供什么样的安全以及该平台的用户需要做什么?企业应该寻求安全专家的帮助,一起在软件安全的道路上披荆斩棘,众行至远。Ian最后说。
在线咨询
