本港台开奖现场直播 j2开奖直播报码现场
当前位置: 新闻频道 > IT新闻 >

wzatv:【j2开奖】为数字化企业注入安全基因(3)

时间:2017-05-22 21:30来源:天下彩论坛 作者:118KJ 点击:
企业完全认同IT应用的安全性是数字化战略中不可或缺的一部分,但是具体到BSI实施落地层面,却发现安全活动排不上高优先级,总是会被各种原因不断的

  企业完全认同IT应用的安全性是数字化战略中不可或缺的一部分,但是具体到BSI实施落地层面,却发现安全活动排不上高优先级,总是会被各种原因不断的往后延期。其中一个常见的说法是,开发团队面临着很大的交付压力,要在规定的发布日期到来前完成计划中的业务功能已经实属不易,没有充足的时间执行安全活动。

  出现这样的情况并非是因为开发团队不清楚安全的重要性,这背后潜藏的原因是,某些传统安全活动给开发团队留下了一些不太好的印象,比如说,需要耗费开发团队比较多的时间,或者某些传统安全活动过程繁琐、流于形式,难以产生实际有效价值。再加上实现业务功能永远是开发团队的第一优先级,因此安全活动难以推进执行也是必然的结果。

  从我们的实战经验来看,要解决这一挑战,企业可以精心挑选一个试点团队,将其打造成BSI的样板工程,以成功案例的方式让更多的开发团队进一步了解BSI,明白它能够最大限度的借助自动化,提高开发团队在安全活动上的投入产出比,用相对而言更少的时间,更有效的提高IT应用的安全性。

  挑战二:传统安全团队的焦虑

  传统的IT应用安全运作模式是,每次IT应用在发布上线前,开发团队将其交给安全团队做扫描,安全团队将扫描结果汇总成安全报告并提供给开发团队做修复。在这一模式中,安全团队报告的安全漏洞数量越多,严重性越高,越能体现出自身的价值。

  而在实施了BSI后,开发团队承担了更多的安全职责,将原本由安全团队才有能力报告的安全漏洞及时发现并修复了,这使得传统安全团队感到一丝焦虑。想象一下,如果某次安全扫描后,没有在IT应用中发现任何安全漏洞,安全团队到底是应该欢喜雀跃,还是黯然神伤?

  BSI是IT应用安全发展的必然趋势,在这个大趋势下,安全团队需要重新思考和调整自己的定位,将关注点从安全漏洞数量,转移到为开发团队提供自动化、自助化的安全服务上来。

  挑战三:安全活动如何可视化?

  在实施BSI的过程中,我们经常被开发团队问到的一个问题是:我们做了这么多安全活动,仅仅只是我们自己知道它非常有帮助是不够的,如何才能把它可视化出来?

  BSI中的每个安全活动都有着明确的产出物,我们可以通过收集整理这些产出物,将其作为基础,通过图表的方式进行可视化。比如,威胁建模会产出一系列安全需求,它们会随着开发的进行逐个被实现。在这一过程中,开发团队可以将当前已完成的安全需求、未完成的安全需求的数量以燃尽图的形式展示出来。再比如,开发团队可以持续统计通过自动化安全测试发现的安全漏洞数量,依然以图表的形式进行可视化。

  通过BSI安全成熟度模型来对企业或者某个开发团队的安全实践进行评估,并且将其结果可视化出来也是一个不错的选择。不仅如此,企业还能通过这个办法,从中识别出当前面临的安全短板,为开发团队设立安全改进目标提供帮助。

  在数字化革命面前,金融企业业务的正常运转必然将高度依赖于IT应用的可靠运行,IT应用的安全性将对企业产生重大影响。企业有必要通过BSI这种内建安全的方式,尽早发现安全问题,利用自动化的优势缩短安全问题的反馈周期,持续的、以共同协作的方式主动预知并化解安全问题。

  作者介绍:

  马伟:ThoughtWorks高级咨询师、企业应用安全高级咨询顾问,BSI的实践者。

  杨璐:ThoughtWorks首席咨询师,曾服务于IBM和埃森哲咨询部门,为多家跨国公司和机构提供过安全咨询服务。

(责任编辑:本港台直播)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
栏目列表
推荐内容