查看原文
其他

安全合规是Global SaaS的“生命线” | Linkloud沙龙第五期实录精选

Editor's Note

第一次安全合规主题的实录Highlight来了,久等了!

The following article is from Linkloud精选 Author LinkloudGPT

Linkloud名称由来是 Link Cloud” & “Link Loud” 的结合,三位合伙人有着丰富的行业和投资机构从业经历,对企业服务的投资和长期发展有耐心,更有信心。在这里,我们希望对齐各方资源,沉淀认知和人脉,成为国内首个连接面向全球市场的企业服务创业者、从业者的社区,帮助更多同仁伙伴在全球舞台上发声。
4月8日,我们在深圳与 Google Cloud 联合举办了 Global SaaS 基建系列的首期线下沙龙,围绕“合规与安全”这一重中之重的话题,邀请到了四位具有丰富实操经验的伙伴与我们共同分享心得。
嘉宾依次是 AfterShip CTO洪小军(下称小军)、Google Cloud 大中华解决方案架构安全主管Ken、云安全厂商 Selefra 创始人曾垚以及 Advance.ai 高级信息安全经理赵海旭(下称海旭)。他们从各自的视角和实践为我们带来了宝贵的建议和启发。
我们将现场的分享整理为以下“不完全启示录”,想了解更多精彩细节,欢迎与我们线下相聚。

洪小军:安全与合规是贯穿公司发展的生命线


电商是一个与用户数据高度相关的场景,因此AfterShip在安全与合规方面算得上颇有心得。此次,小军从三个维度和我们分享了国际化 SaaS 安全合规的挑战和应对。
背景:安全与合规层面的挑战与日俱增
2018年以来,每年投保于网络安全的保费都达到了100-300%的同比增长,因安全隐私方面问题受到罚款的事件数量和金额持续上升,不乏许多大家伙(如JPMorgan、Ins和Meta等)因为相关问题吃了巨额罚单。这意味着网络环境的挑战越来越大,大家也需要为抵御风险支付更高的成本。
不同国家的罚款制度不尽相同。无论是罚款事件的数量还是金额,欧洲国家都遥遥领先,税收洼地爱尔兰则在罚款金额上拔得头筹。因此,业务若面向欧盟和欧洲国家市场,安全合规的挑战不言而喻。
该现象很大程度也因为该地区受GDPR条例的保护,该条例于2018年5月生效,规定了欧盟内所有企业和组织必须遵守的关于个人数据隐私保护的规则。与该条例齐名的还有与2020年1月生效的CCPA(《加利福尼亚消费者隐私法》),在加州经营业务的企业及处理加州居民个人数据的企业都需要遵守该条例。
截至目前,全球至少有70%的国家和地区已经针对数据和隐私保护立法,欧洲、北美、东亚、东南亚都有明确的立法,不同地区的法案条例都不相同,当公司决心出海的时候,熟悉和了解这些条例是必不可少的先修课。
除去地区、政策方面的挑战,安全隐私往往是获得企业级客户的第一道门槛,包括应用安全、数据安全等在内的一系列的安全措施,都是企业级客户考核的重点项。以AfterShip的经验为例,在拓展戴森和微软等企业级客户的时候,通常会收到包含几百个安全合规问题的问题清单,不仅要求AfterShip做好安全隐私的保护,对其使用的供应商也有严格的要求。安全合规问题始终是要求最严谨的入场券。
实操:安全与合规挑战的应对策略
信息安全有三个核心属性,称为CIA,机密性(Confidentiality)完整性(Integrity)和可用性(Availability)。企业安全与合规工作的重要目标就是满足这三个核心属性,通常需要企业管理者和成文的规定共同保障。
在实际操作中,DPO(Data Protection Officer)是一个很重要的角色,他们是企业安全的守门员,驱动着与安全合规相关的整体策略,包括PaaS的建设、法律法规的分析和遵守等。DPO在安全方面甚至拥有比C-level管理者更大的话语权,他们通常在细节上更为严谨,哪怕得罪客户,也要确保企业的安全合规万无一失。
Data Processing Agreement (DPA)是不同公司在与客户打交道时,需要签署的一份重要协议,用来保证信息采集和处理方式的合规。
信息建设的实操中,有三个需要重点关注的环节:
数据本地化存储和传输:目前,中国、欧盟和美国加州的监管对数据的本地存储和传输做出了比较严格的规定。多数大型企业都对数据的本地存储有要求,这对于同时开展中国国内业务和欧美业务的公司来说是一个巨大的挑战,行之有效的方法可能是设立不同的主体来服务不同国家和地区的客户。
数据访问权限的控制:所谓访问控制,指的是很多客户企业要求其用户的PI(Personal Information)数据只有在白名单内的国家才能访问,而中国通常并不在白名单之内,因此需要公司清楚地识别和分别哪些数据属于PI数据。而有些企业更极端地要求所有数据在白名单之外的国家都无法访问,这甚至会成为成单时的deal breaker。访问控制对于CTO或是整个公司层面常常是最大的挑战。
信息的泄露通知机制:信息泄露相关的通知机制在欧美国家意义重大,企业若不遵守该机制,可能会面临巨额罚款。该机制要求企业的数据泄露问题若严重到某一程度,需要通知相应的监管部门。以欧洲为例,要求在24小时内告知。此外,信息泄露事件一定要及时与当事人沟通,这也是处理流程中的一个重要环节。
心得:AfterShip关于安全合规的思考和布局
只使用安全、隐私和合规认证满足要求的三方服务:
AfterShip的核心逻辑是“站在巨人的肩膀上,成为自己所在领域的巨人”,因此在其发展的过程中采购了大量的外部服务商的产品来帮助团队节省时间和精力。迄今AfterShip已经使用了超过100家SaaS公司的产品,在选型时,对服务商最核心的要求是全球化、业务成熟、合规认证层面过关选择这样画像的服务商,通常更容易通过中大型客户的合规安全审查(中大型客户往往要求公司提交所使用产品的供应商列表),出现安全泄露的风险也相对更低。此处还重点提到了公司需要公开列出所有与处理客户数据相关的工具和服务,因此在选型时也会更加慎重。
另外,小军提到了一个不得不接受的残酷事实,在面向欧美的企业级客户时,公司不能使用任何国内服务商提供的产品和服务(此处指公司注册成立于国内且主要团队在国内),一旦涉及,沟通成本相对高且可能导致客户最终不选择你。这对国内初创公司出海并不友好。
随着业务成长,对企业安全与隐私建设的要求也越来越高
AfterShip成立之初的两三年主要面向SMB客户提供产品,到了2014年开始接触Amazon一类的大客户,再到近几年,将业务重心聚焦于服务大的企业级客户。面向大客户,合规与安全的要求是更上几层楼的。小军为我们介绍了几种常见的认证以及选择建议,其中就包括SOC 2、ISO27001和GDPR。最初,AfterShip选择的是SOC 1的认证,相比SOC 2,SOC 1的实施周期和难度都更低,也被大客户广泛认可。
更多关于合规体系的选择也可以参考Salresforece的合规网站:https://compliance.salesforce.com/en。该网站列示了不同地区、不同类别、不同层面的隐私安全相关条例,不同的公司可以按需选择。截止2022年9月的数据,可以看到多数SaaS/科技类上市公司都通过了SOC 2认证,而PCI DSS则与业务场景更相关,对涉及支付业务的公司而言更刚需。
安全合规也是企业内部建设的利器
安全合规的意义不仅是帮助公司赢得更多大客户,在企业的内部建设中也发挥着巨大价值。其一,完成SOC 2或ISO27001认证的过程是一个很好的内部评估和检查机会,可以发现内部建设和现有体系存在的差异并加以完善;其二,可以指导企业以终为始地进行体系化建设,比如在完善数据访问权限控制的时候可以结合认证的程去驱动团队工作。
综上,安全隐私不只是叩开企业级客户大门的敲门砖,也是贯穿企业全生命周期的生命线。在AfterShip的实践中,安全隐私总是被放在最高优先级,如果有什么灾难会使公司顷刻倒闭,那一定是安全隐私出现了重大问题小军老师还和我们分享了一个AfterShip在24小时内紧急排查和响应潜在安全风险的小故事,突出了安全管理的重要性和急迫性,值得所有初创企业高度重视。当然,企业的合规与安全建设不可能一蹴而就,当企业在发展过程中遇到相关难题,不妨找专业里的行家指点一二。

Ken:云厂商助力企业完成从0到1的安全建设


安全与合规是出海过程中非常重要的两件事,直接关乎与客户的合作成功与否。此次,Ken 代表Google Cloud与大家分享了从0到1进行安全建设的Playbook,在这个建设过程中,云厂商的参与功不可没。
安全合规的背景和责任共担模型
首先要认识到,不同监管规则与云厂商技术的相关度不同。如下图所列示,从左到右技术工作的参与度越来越高。GDPR可能仅有50%的内容可通过技术配置满足,而ISO27001与技术和云厂商工作相关的部分多达90%以上。
云厂商是参与者之一,监管与合规涉及多方面,需要各方协作、共同完成
责任共担模型是一种云计算行业常见的安全策略,定义了云服务提供商(CSP)和云服务用户在安全方面所需承担的不同职责。根据用户选择的模式不同,服务商和用户自身所应承担的职责也不相同。
通常而言,技术能力比较强的公司会选取IaaS模式以获得更多灵活、可定制化的空间。在这种模式下,服务商负责管理基础设施(如物理服务器、网络和数据中心),而用户负责管理操作系统、应用程序、数据和安全配置;中间形态是PaaS,这种情况下云厂商会承担更多的工作,除基础设施之外也管理操作系统,给用户提供一个可直接运行代码、开发应用的平台,而用户则负责管理应用程序和数据;SaaS则是一种开箱即用的模式,云厂商包办了大部分工作,用户只需负责管理数据和访问控制。
下图中,黄色部分相当于云厂商提供的兜底,包括了运维和合规,当云厂商兜底的部分越多,需要企业自身承担的合规风险和相关审计成本就越低。审计本身也是一件繁琐的事情,涉及的金钱投入、时间消耗、沟通成本对于大部分公司而言往往并非必须。
公司应该聚焦于自己的核心业务,在有限的时间内最大化地发挥优势和业务价值,而把一些即便做到最好也无法让业务获益的工作交给服务商。Google Cloud其实就是一个很好的合作伙伴,其服务广泛地覆盖了不同的地区和国家,相比部分云厂商的方案更为周全。
C to G(China to Global)合规安全Playbook
Playbook是Ken本次分享的重头戏,也是多数公司在出海早期都可以参考的指南。
Step1:尽职调查
在海外业务的起步阶段,每进入一个新市场都需要了解当地的合规要求,比较常见的做法是寻求专业律师或合作伙伴的帮助,他们会为公司列出当地的法律法规并根据公司不同的业务和场景给出合规建议。尽职调查的结果对不同发展阶段的公司都会有所影响,知名的出海快时尚公司SheIn在建立总站或分站的选择上也依赖于尽职调查的结果。尽职调查工作在企业发展的早期通常交由三方完成,而当业务发展到一定体量后,公司就可以招聘和培养内部的律师团队来完成相应工作。
Step2&Step3:企业架构设计和落地
在了解了不同的安全合规政策后,企业需要设计并落地具体的实施架构。此时,云厂商是一个不错的参谋。云厂商通常接触过大量不同类型的客户,设计并落地过服务不同业务的架构,如果公司在选择架构的时候没有头绪,云厂商可以给到建议,甚至直接交付可用的代码,如Google Cloud的Terraform就可以直接落地应用。
在这两个步骤中,Google Cloud的能力得到凸显,可以从大量的服务案例中快速提炼最优的解决方案,帮助企业更快地落地、走向市场。除了丰富的架构用例、安全的代码框架、开箱即用的计算、存储和数据库资源之外,Google Cloud还拥有全球最大的私有网络。这一网络的搭建得益于Google多样化的前端生态,包括Youtube、Search、Gmail等,使来自世界各地不同的需求能够最快速地得到谷歌云的响应,充分满足客户对低时延的高要求。
Step4:认证与审计
在企业的架构落地之后,需要根据所在的市场和地区做相应的合规认证,例如在欧洲建站,需要通过GDPR认证,这可能需要律所或外部第三方协同来完成认证报告。企业在获得认证之后仍需要确保持续合规,因此每年6月,企业需要针对安全合规开展年审工作,通常由事务所等三方机构协助完成。
Step5:Day 2 Ops
最后一个步骤要求企业在日常的运营和经营管理过程中保持持续合规
就持续合规,Ken提到了四个关键点,包括云CMDB(配置管理数据库)、持续的配置合规、威胁检测以及漏洞警报
Google Cloud可帮助企业客户搭建一套CMDB,同时也将随时追踪客户资产的变化,小到防火墙规则的设置,大到虚拟机的背景。客户可根据追踪的结果来定义好坏、触发警报、完成自动修复等工作,以此来完成持续合规。
为了更直观地呈现界面和功能,Ken在现场还为我们展示了Security Command Center的产品demo。
该产品内置了对应不同法规标准的检测项,帮助公司快速完成合规的首次申报和落地,与此同时它也让持续合规变得更简单。产品定义了一个标准,基于该标准对公司的安全环境进行评分,以供管理者审阅和制定安全策略。在实际操作的过程中,产品会提示操作者哪些环节做得不够好并提示修改建议,哪怕操作者不完全理解背后的意思,也能根据指引完成操作。
但哪怕产品显示得分在95%甚至100%也不意味着万事大吉。根据Google的调研,过去5年全球发生的云安全事故中,85%都是因为同样的原因—使用者犯了低级错误。因此产品也在每个sector中设置了不同的检测项,帮助公司在实操过程中规避不必要的低级错误。
Google Cloud的安全架构案例
Ken还为我们展示了几个安全架构案例,包括以虚拟机为基础的架构、以容器和无服务为基础的架构以及服务于数据分析的安全架构。不同架构均内置了Google Cloud的最佳实践,体现了Google Cloud在不同业务场景下的服务能力,使用者可以各取所需实现架构和业务的快速落地。
其中,Google的架构抵御DDoS的强大能力给大家留下了深刻的印象。DDoS指的是利用大量的计算机或设备向目标服务器发送请求,造成服务器过载,导致无法正常响应其他用户请求的攻击行为。通常生意发展到一定体量就容易被DDoS团伙盯上。Google防DDoS的架构被验证是有效的,2022年Q3,Google Cloud抵御了全球有史以来最大的windows attack,高达每秒4300万个请求。此外,该产品加入了AI功能,可以提醒用户正在遭遇DDoS攻击。
总之,无论企业规模如何,其安全与合规的建设万变不离其宗,五步曲的Playbook在多数时候都行之有效。而云厂商等外部智囊团的建议和辅助往往能让安全合规工作事半功倍。

曾垚:多重视角下的企业安全与合规


Selefra既是云厂商的客户,也是合规产品的供应者和处于起步阶段的Global SaaS公司,曾垚结合公司自身的合规建设和所服务客户的合规举措为我们进行了分享。
安全合规的重要性
安全合规对于企业的重要性不言而喻,从不同的角度有不同的观察。
从外部环境的角度,安全合规对抵御攻击起到重大作用。
不同于国内客户喜欢自研,海外客户倾向于使用大量的外部SaaS,Selefra也采用了超过30个SaaS产品,一来可以提高工作效率,二来也能保证后续合规的成本可控。以搭建一套K8s为例,自研可能在早期更省钱,但证明该平台的合规和安全性往往需要付出更多的代价。
做海外市场,SaaS是否正确使用对于安全合规至关重要,受到外部攻击或是内部运行管理不当的情况下都可能会产生数据泄露的风险并导致业务中断。3月,OpenAI就因为Redis组件库中的一个bug,在ChatGPT的运行中暴露了用户的个人信息而导致宕机。安全事件影响的不止是业务,更是品牌的声誉。
无论是初创公司还是成熟大厂,安全无绝对。曾垚为我们举了包括微软Azure、Okta在内的公司出现的安全事故,提醒了大家无论任何场景都不能马虎。
从政策的角度,监管日益趋严对企业的合规安全要求更上层楼。前文也提到了由于合规不当造成的罚款事件,Meta、微软一类的大厂都曾因为合规问题受到处罚。所谓处罚不仅是来自监管机构的行政处罚,如果在欧洲,可能还会面临C端用户的集体诉讼和相应赔偿。此外,有些合规认证是开展业务的先决条件,以GDPR为例,企业如果不做认证,就无法在欧洲开展业务。即便业务得以开展,也要持续遵从监管和法律,国外经常会出现公司C-level由于没有处理好安全事故而进局子的事情。明知故犯或故意隐瞒安全事件是很严重的事情,不只会给公司带来法律风险,个人层面也脱不开干系。
从客户成功的角度,满足安全合规是一个正向循环。
该循环始于客户信任的获取,终于客户留存与续约,安全合规既是业务起步的敲门砖,更是业务全程必须一以贯之的准则。做ToB SaaS的公司在服务中大客户时常常会收到客户的一长串checklist,包括数据加密、访问控制、infra的审计监控、安全意识等等问题。如果公司答不上这些问题,往往连进一步产品演示的机会都没有,起步就没能获得客户信任。此外,如果在服务的首年没有做或是没有做好合规工作,很可能在第二年无法获得客户的续约。还有一点与之前小军提出的类似,中大型客户再让服务商进场时会要求其使用的外部供应商也是满足合规要求的,通过规避细分领域的不合规来避免全局不合规
安全合规的主要工作
安全合规是一个非常泛的领域,就国内而言,涉及安全的产品就有大几千款,每款产品都面向不同领域。提及安全,大家首先要明确自己处于什么阶段,要投入什么样的精力,把什么工作放在最高优先级,不同阶段有不同的考量,对企业能力也有不同要求。
初创阶段:建立看见风险的基础能力,保障业务的连续性,满足客户的产品安全功能需求
在内部将安全功能纳入产品设计、解决技术安全问题,从外部引入供应商的服务和产品强化安全建设:
  • 在MVP阶段将安全功能(如安全密钥、审计日记等)纳入产品设计,并建立漏洞处置响应流程,提高产品的安全等级。
  • 保障基础设施安全并搭建数据安全体系,包括数据备份、数据加密、数据访问控制等。
  • 引入安全服务供应商和工具,持续对基础架构的网络、访问控制、基础云服务等安全问题进行监测和扫描。

成长阶段:建立解决业务信任危机的进阶能力,搭建安全信任体系,保障业务发展
该阶段,涉及大量客户核心商业信息和数据的SaaS是格外敏感的,让客户为SaaS买单需要更多的证据证明产品的可靠性:
  • 完善公司内部安全管理制度文档,如漏洞管理制度、软件开发安全管理办法、安全培训等;必要时可以引入外部咨询机构和律所,制定安全管理制度及文档。
  • 根据业务发展需求提前规划安全合规工作,通过权威认证向客户证明产品和业务的安全性。如国际通用安全标准(ISO-27001、NIST)、行业标准(PCI-DSS、HIPAA)、国家地区标准(CPAA、GDPR)。
  • 引入安全合规自动化工具,加速合规审计流程。

成熟阶段:建立可持续提升安全水平的高阶能力,建设完善的安全响应及管理体系
该阶段对安全合规能力提出了更高的要求,需要安全合规为业务赋能:
  • 满足更高级的安全标准,如SOC 2、CSA STAR,以保障业务安全合规的领先性
  • 建立安全与业务的自动化响应流程,引入工具进行集成,将安全能力融合至业务
  • 培养全员安全意识,并通过培训等方法规范员工行为,以保障公司机密数据的安全性
  • 把安全合规建设落到实处,建立完善的安全管理制度及流程,组建全职的内部安全团队,必要时可以引入外部工具和机构进行评估

当然,就算投入了大量的金钱和精力把以上事情都做完,依然不能保证绝对的安全。安全与合规的建设需要贯穿业务发展的始终,并依据业务阶段、客户情况和整体商业化的进展进行持续优化和调整。
Selefra助力企业展安全合规工作
安全领域有成千上万不同类型的产品,企业在不同阶段对产品引入有不同需求,管理产品将带来极高成本,Selefra将助力企业打造可持续延展的基础设施安全能力。
Selera目前已与Salesforce、Datadog、Cloudflare等30多个主流服务商进行数据集成,采用开源的数据收集和分析工具,方便客户轻松接入小众产品。同时,Selefra支持数千种资源类型,覆盖覆盖存储、网络、计算、IAM(身份和访问管理)等。此外,Selefra的专业研究团队学习掌握了足够多安全规则,覆盖了上千种安全合规场景及策略。目前,产品也已接入GPT,提供高效、可自定义的数据分析能力,满足企业客户在业务层面特殊的安全需求。
对于初创企业,Selefra的产品可以赋能其基础设施的安全评估。目前,除丰富的资源覆盖外,产品已上线漏洞分析和管理平台,帮助客户实现对不同产品和服务的漏洞追踪,并支持CIS Benchmark、Attack Surface、GDPR、SOC 2等常见的安全与合规框架,旨在帮助用户完成持续地、高性价比的安全合规工作。
Airgram(Notta)的合作就是Selefra赋能初创企业的一个代表案例,同为出海SaaS公司,Selefra帮助Airgram高效完成了部分合规工作。
在合作的第一阶段,Airgram使用Selefra作为评估产品安全性的第三方;第二阶段,Airgram使用Selefra查看和管理上千种不同的云安全配置和规则(policy)以及资源变更时的信息更新以实现持续高效的安全管理;在后续的合作中,Airgram将会进一步使用Selefra管理更多和其使用的SaaS产品相关的合规和安全问题,承担归属Airgram的相应职责。
未来,Selefra还将服务于更多公司的合规与安全工作,面对业务体量更大、更复杂的客户,可能又会有更多不一样的需求,需要Selefra抽象到产品中加以实现。

赵海旭:三步走做好企业安全合规


在出海的过程中,客户对安全的要求非常严格,会详细追问非常细节的问题,而这也对CTO提出了更高的要求。作为CTO,可以通过三步走做好企业的安全合规
第一步,建立企业框架
框架由“框”和“架”组成,框框住了我们应该做的事,限制了企业的业务和技术范围,架则是一个结构,让企业的业务发展更加稳固。
企业在业务进展的过程中通常会面临安全问题、为了解决安全问题引发的业务问题以及技术与业务人员沟通不畅等诸多问题。解决这些问题就需要一个框架,用一种“化整为零”的思维描述清楚企业的全貌、可能存在的问题和对策。作为企业的根基,框架一定要满足安全合规的要求。
海旭为我们简要介绍了几种企业架构框架:
  • Zachman框架:该框架提出what、how、where、who、when、why六个问题,从不同层次对企业架构进行描述,旨在讲复杂的问题和企业架构进行拆解,为企业提供一种可以理解的信息表述,让每个相关人员都能清晰理解信息。此外,该框架把业务需求映射到技术实践之上,每个技术实现都可回溯至上层的业务需求,使技术和业务人员可以高效沟通、避免内耗。最容易落地,但尚缺乏成熟度的评价标准,并不是一个特别稳定的架构。
  • TOGAF架构:该架构是一个开放组织架构框架,从业务、数据、应用、技术四个层面描述企业整体架构,这四个层面可以随业务不断发展变化而动态更新。福布斯全球top50%的公司中有超过80%都使用该架构。它的优点在于可操作性强,得益于标准的知识库,落地也很容易。虽然在落地能力上稍劣于Zachman框架,但TOGAF在稳定性上更胜一筹。
  • ITIL:ITIL(IT基础架构库)定义了四个维度,组织人员、信息和技术、合作伙伴和供应商、价值流和流程。这些维度既可以反应IT的能力成熟度也可以用于企业架构的建设。该架构的优势在于能够加强公司IT服务能力的建设、提升员工的IT能力,同时可以让客户了解公司的IT能力,拉近业务与开发的距离。
  • CMM:CMM是企业的能力成熟度模型,强调提升公司的业务执行能力,分为1-5级,企业的成熟度逐级递升。该架构相对全面,但并不适合初创公司或是业务刚起步的公司应用。

第二步,建立信息安全架构
在建立企业架构之后,公司就可以进行信息安全验证。此时,选择一个信息安全框架至关重要。信息安全框架相当于一个内部政策,所有相关工作和业务都必须按照该政策执行,它使得企业的安全工作有据可依。
信息安全框架分为两类,一类是安全计划框架,另一类是安全控制措施框架
安全计划框架指导我们如何进行安全建设,海旭首先推荐了ISO27001。这是一个基于风险管理和PDCA的循环体系,让企业的安全性在不断优化中提升。更关键的是这是一个国际认可的框架,在服务海外客户的时候,他们也会关注公司是否通过ISO27001的认证。
另一个计划框架是NIST的网络安全框架,这是一个比较全面的网关框架,包含识别、保护、检测、响应、恢复五个方面100多个子类别。该框架落地需要有一个强大的IT团队来实现,并不一定适合初创公司采用,但依然可以将其作为参考。
安全控制措施则指导我们开展和落地具体的安全工作。海旭推荐了CIS控制措施,包含20个关键措施,并依据不同公司安全团队的能力提供了三个实施组(IG1-IG3),管理人员可以“因材施教”选择具体的实施方案。CIS是最简单、最易于落地的控制框架,如果公司的安全合规处于起步阶段,该框架将是一个很好的参考。另一个安全控制框架是COBIT,COBIT框架是业内最佳实践,当公司到达一定规模时将对该框架有需求。COBIT框架可以平衡资源利用、风险和收益,并且包含了企业治理与管理相关的内容。此外,该框架还设定了13项企业目标,涵盖了财务、客户、内部和成长不同的评价维度,可以帮助有一定体量的公司更好地实现治理和管理目标。但该框架并不推荐早期初创公司使用
第三步,建立风险管理架构
当企业设定了安全框架之后,需要进一步选择风险框架来帮助公司识别、评估和管理风险。海旭向大家展示了4种风险框架,前三种框架采用定性的风险评估方法,而第四种则从定量的角度出发,可以评估安全风险带来的潜在经济损失。
NIST和ISO27005是两种常见、易落地的风险框架:
  • NIST框架:分为分类系统-选择控制-实施控制-评估控制-授权系统-监控控制六个步骤,组成了一个循环体系,在实践过程中可以不断自我优化。与此同时,该框架提供了解决资产评估的最简单方法。
  • ISO27005:提供了四种清晰的风险处置方法:缓解、接受、转移、规避。该框架的核心是沟通,要求企业拥有一个完整的安全赋能体系。ISO27005风险框架搭配ISO27001管理框架往往是最行之有效的方案。
在介绍过各种框架之后,海旭也从过来人的视角给了大家在框架选择上的建议。对于中小企业而言,建议选择Zachman或TOGAF作为企业架构框架,ISO27001作为信息安全计划框架,CIS作为信息安全控制框架,ISO 27005作为风险管理框架。落地简单的框架对于公司的早期发展往往效率更高
最后,海旭为大家介绍了Advance的安全出发点、架构和能力。作为一家以数据为本的公司,Advance的宗旨就是做到数据的可感可控、可追溯、可打击。为了实现这一宗旨,公司以人、技术、流程作为风险关注点,识别云平台、应用、办公网、SaaS和供应链为风险域,提供以攻促防、SDL代码检测、系列安全措施等在内的四大抓手,将安全管理落实到风险识别、资产保护、攻击检查、应急响应四大模块,最终促成管理目标的实现。更具体而言,公司的信息安全架构最底层采用PCI DSS和ISO27001,上层的每个模块和流程都设置有详细的控制。
在与Selefra的合作层面,Advance主要使用了其提供的两个平台:一是用于管控SaaS安全风险的操作审计平台;二是用于监测云端流量的流量威胁检测平台。Selefra提供的这两项能力帮助Advance解决了核心需求,进一步提升了其整体的安全能力。

此次沙龙是今年Linkloud的第一次活动,后续我们将联合更多有经验的伙伴开展更多的话题研讨,包括GTM、Marketing等,同时也将帮企业对接更多所需的资源,为创业者创造更多差异化的价值。大家拭目以待。

一 END 一



无论您对企业服务、SaaS还是出海感兴趣,无论在全世界任何地区与时区,欢迎添加我的微信号(galenleo,添加时备注姓名+公司)云上探讨。



更多Linkloud活动,请关注:


点个在看 一键上云

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存