中小企业为什么要关心安全?

信息安全 风险管理 商业风险 意识
2021-08-25 06:12:46

借口

我不是安全专家,只是对“安全”感兴趣的网络开发人员。我的雇主要求我就安全性(特别是 Web 应用程序安全性)以及为什么它对 SMB 很重要进行内部讨论。

回想我的动机,我意识到这个特殊的主题让我感兴趣,因为:

  1. 我觉得技术方面很吸引人
  2. 这是正确的做法
  3. 我不想被骗(职业尊严)

这一切都很好,花花公子,但董事会不会对此印象深刻。因此,谈话应侧重于安全性对 SMB 的业务影响。

我一直在考虑结合一些经常听到的论点:

  • “安全仅适用于金融/医疗/保险行业”
  • “我们太小了,不会被黑客注意到”
  • “没有什么可以从我们这里得到——我们的数据并不有趣”
  • “我们不存储信用卡数据或任何敏感信息”
  • “即使帐户被黑,你也真的无能为力”
  • “我认为没有人对用户 X 在我们平台上所做的事情感兴趣”
  • “安全没有商业价值”
  • “我们需要专注于为我们的用户实施新功能”
  • “我们很精益,不赚钱的代码就是浪费”
  • “如果我们把事情弄得太复杂,用户就会转向我们的竞争对手”
  • “Adobe 被黑了,人们仍然喜欢他们”
  • “这种情况发生的可能性是如此之低,我们无法证明在这上面花费任何资源是合理的。”

其中一些可能是愚蠢的,但其他提出安全商业价值问题的问题是完全有效的。不幸的是,这些对我来说很难回答,因为坦率地说我不知道​​答案。我觉得我可以在谷歌上搜索,直到奶牛回家,除了推销和陈词滥调之外什么也得不到,比如“你的网站是你的虚拟名片,你想给人留下好印象”。

到目前为止我做的一些笔记:

  • 小企业实际上是相当多的目标,因为它们是“低垂的果实”
  • 攻击者甚至可能不知道您的业务,例如,如果恶意软件与依赖项管理器一起安装
  • 如果您有目的,所有数据都很有趣
  • 攻击者不关心您的平台,很可能他们也不关心用户在该平台上所做的事情。他们对存储的用户数据感兴趣(PII、明文或散列不良的凭据、电子邮件地址等)
  • 攻击向量可能包括多个目标,您的平台可能只是更大计划中的一小部分
  • 遵守立法者和潜在的商业伙伴
  • 安全的商业价值可以在违规发生后量化(例如客户流失的数量)
  • “精益”来自汽车行业,他们有很多规定要遵守
  • 安全作为差异化因素(脱颖而出并与客户建立信任)

TL;DR – 实际问题

我不指望任何人来解决所有这些问题。只是寻找一些输入,也许是一些正确方向的指针。谈话不会在 2019 年第三季度之前进行,因此仍有一些时间进行研究。

  1. 需要回答的大问题是“为什么中小型企业应该关心(应用程序)安全性?”
  2. 归根结底,安全只是风险管理吗?
4个回答
  1. 每家企业,无论其业务或规模有多大,都依赖于信息
  2. 信息对企业有价值,因此企业需要保护该信息的可用性和完整性
  3. 信息对其他人有价值;您的客户、您的员工、您的业务合作伙伴,并且对可以利用信息谋取私利的其他人具有价值,因此需要保护信息,以免人们使用它来造成伤害
  4. 每个企业都需要确保在正确的时间以正确的方式使用信息,以便客户、员工和合作伙伴获得他们需要的利益

这四点意味着需要有适当的流程和培训,以确保从信息中获得最大收益,并在出现问题时将影响最小化。我们称之为“信息安全”。信息安全与技术无关,也与“黑客”无关。这是关于在信息和业务的生命周期内正确处理信息。

信息安全流程并不新鲜。各种规模的企业都需要以相同的方式处理所有资产。其实,你可以将以上四点中的“信息”换成“资产”,商家也不会感到意外。对企业而言,信息与资产一样重要,因为信息是最重要的资产。

我认为这个问题太宽泛了,所以我只会介绍我认为的主要方面:

归根结底,安全只是风险管理吗?

就是这样。信息安全解决了与 SMB 相关的若干风险,例如:

  • 勒索软件可能会导致无法访问对业务至关重要的数据或系统。丢失或不正确的备份可能会导致类似的问题。
  • 竞争对手可能会获得秘密数据,并可以利用这些数据为自己谋取利益,例如低于公司报价或窃取想法并利用这些数据更快地进入市场。比赛不需要是安全专家来获得这种访问权限,因为可以雇用从事间谍活动或破坏活动的黑客。
  • 无意中成为发送垃圾邮件的僵尸网络的一部分可能会导致来自公司的邮件被客户或合作伙伴的邮件服务器阻止,从而失去正确通信的能力。
  • 如果客户数据受到安全问题的影响,则可能会导致客户流失、被罚款,并且在让支付提供商获得可接受的条件时也会遇到问题。
  • 并且可能更多...

因此,不解决风险可能会导致业务损失和资金损失。另一方面,解决风险也需要金钱和时间,因此必须找到一种方法来平衡这些风险并确定可以接受的风险。但要做到这一点,首先必须评估公司的具体风险实际上是什么。

IT 只是一个工具,它应该被视为任何其他工具,不多也不少。我假设办公室的门在晚上是锁着的,但你后面可能没有武装警卫队。但是你可能在办公室里有一个保险箱来存放最重要的文件或价值。这意味着物理安全必须适应具有平衡成本/价值的风险水平。

IT 安全没有什么不同。忽略它就像晚上让办公室的门开着一样:任何人都可以进来偷窃或破坏东西。另一方面,设置太高的水平也没有任何用处,因为这不值得付出代价,就像把办公室变成诺克斯堡的副本一样。

坏消息是,您无法避免最小风险分析:您的信息系统中什么是重要的,您想要保护的风险是什么,以及在金钱和使用方面的相关成本是多少。

几点想法:

  • 安全是质量的一个方面。一个很好的总结在这里
  • 安全与隐私相结合(想想否认、合规、客户索赔等)
  • 安全不仅仅是技术,主要是流程人员因此,您需要关注您的工作/业务流程(例如检查安全性的频率、重置密码的频率、谁可以查看日志等)和您的人员(例如安全意识、培训等)
其它你可能感兴趣的问题
上一篇在不暴露基础数据的情况下检测重复项 下一篇这个 AppLocker 绕过究竟是如何工作的?(“Squibblydoo”)