🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

诸子笔会2022 | 孙琦:过与不及

孙琦 安在 2022-10-30
收录于合集 #2022诸子笔会 56个



自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。





过与不及


     文 | 孙琦




孙琦


某A+H股上市公司信息安全负责人



负责集团及各业态分子公司的信息安全管理工作,在传统行业、互联网行业有丰富的信息安全工作从业经验。




在过去的几年里,我们身边大大小小的企业都在努力的提升他们的数字化服务能力,为客户提供更好的数字化体验。与此同时,信息安全也成为了一个高频词汇一直在我们的身边围绕着,企业在提升信息安全方面做了大量的工作,但似乎普通民众对此却并不满意,这其中是什么导致了如此大的认知误差呢?

作为企业,我们需要清晰地认识到一个问题,在面对信息安全的问题时,无论企业的投入情况如何,攻击行为和恶意欺诈等信息安全问题都在持续增加。从网络钓鱼到DDoS攻击,再到各类APT攻击和有组织的网络诈骗攻击,带有明确经济属性的网络犯罪行为一直都在不断地增长,虽然这种情况可能会因为不同的行业而有所差别,但其整体数量的增长是一个不争的事实。
企业内部对于信息安全问题的讨论也越来越多,例如大部分金融机构他们都采用了自动化的风险决策和投资防范系统来帮助企业更好的开展业务,加强防勒索、增强移动端和渠道的安全也是目前企业投入最多的信息安全领域。根据美国联邦贸易委员会的数据,2021年与欺诈相关的消费者损失规模超过了58亿美元,这个数字并没有因为企业高涨的信息安全支持而得到有效的降低,也许我们可以得出一个让人尴尬的结论,那些网络攻击者的技术正在快速地迭代,甚至走在了我们的前面。持续增加的信息安全攻击已经造成了诸如数据泄露等严重的安全事故,对于企业而言这些安全事故是灾难,他们直接摧毁了消费者对企业的信任,阻碍了企业开展正常业务的能力。

对于企业而言,似乎摆在他们面前的只有一个选择,即持续增加其在线业务的信息安全防护支出。但在实际生活中我并不认为这是一个可能发生的情况,因为绝大多数企业给与安全部门的预算都是“紧巴巴”的。随着企业数字化能力建设的高速推进,大量业务都从线下走到线上,用户从简单的主动获取数据到被企业主动推送数据,直至最后在数字化场景中完成消费,用户的在线活动时间有意无意的被大大的增加了,但无论用户的在线时间被延展到何种地步,用户对于安全性的考虑始终都是第一位的,但企业在信息安全上的投入却是非常谨慎的,我非常不理解的就是企业宁可冒着商誉和经济损失的风险去堂而皇之的将信息安全部门的预算调减至一个远远无法满足其企业需求的水平,但好在这样的情况最近几年正在发生改变,越来越多的国内企业的安全部门从“一人部门”扩展到“多人部门”,预算也处于一个相对稳定的状态。
企业清晰的认识到他们需要统筹解决它所面临的安全问题,但很客观的一个问题是用户对于安全的认知和偏好是飘忽不定的,他们只知道我要安全,却并不知道什么才是安全的。打个比方,企业为用户提供MFA服务时,用户对于选择使用短信、生物识别技术还是其他手段时并无明显的认知,但当企业为其提供了生物识别技术作为MFA的手段时他们会抱怨说识别率太低、部分场景不好用而主动关闭这部分功能。这对于企业而言会是一个比较麻烦的问题,因为企业都会想着为它的客户提供最好的安全服务,但当最基本的安全需求都无法确定时,企业会在如何投入信息安全资源上产生犹豫,比如前面提到的生物识别技术,即使用户现在认可这项技术是安全有效的,但随之而来的针对这项技术本身可能存在的被滥用的风险又被提了出来。所以现在更多的企业选择了多种MFA实现让用户自行选择,将这部分成本算在整体的安全成本中。

对于企业而言,优先考虑的应该是平衡当前它所有的各类安全问题的优先级并创建一个有效的机制去有序解决这些难题。从身份验证这块入手是一个非常不错的选择,以加强数字化能力和提升用户体验、降低安全风险为立足点,加强入口安全会是一个艰巨的长期任务,它是非常重要的。
企业在做数字化能力建设的同时应同步其信息安全能力建设,特别是在防诈骗和身份识别等领域加大投入,从入口加强整体数字化能力的安全程度,优化客户的体验同时平衡如何降低防诈骗、防欺诈等风险。我们建议安全部门需要及时审视现有的安全方案,每隔一段时间进行一次评估,在防诈骗效果和身份识别能力两者建立一种兼顾的更为整合的有效方法,动态的去调整他们的尺度以期待更好的整体效果。
让我们换个角度从用户的视角出发看一下他们的现状和困惑。《民法典》《数据安全法》《个人信息保护法》相继施行,标志着我国以数据安全保障数据开发和利用产业的健康有序发展全面进入法治化轨道,重要数据及个人信息保护成为时代需求。从国家层面看,保障数据安全是维护国家安全,保障数字经济健康发展,推动构筑国家竞争新优势的重要部分。从企业层面看,保障数据安全对于保护企业数据安全,维护企业经济利益、竞争力以及持续经营能力有着重要意义。从个人层面看,保障数据传输安全对于保护个人信息安全,维护个人合法权益和人身安全有着重要作用。

作为一名普通民众,第一感觉是网络安全、个人隐私很重要,紧接着就是无奈的一声叹息。大多数人都会有这种感叹,这些信息不是早就被你们企业拿去了吗?骚扰电话、骚扰短信、恶意弹窗等等无时无刻不在骚扰者使用智能手机的我们。当大家发现手机上时不时发送失败的消息、发送的文字被*替代时,很难理解这也是一种防护的措施。
为什么企业明明已经做了很多,监管机构也已经做了很多,但普通民众依然感觉不那么良好呢?我个人认为这个其实就是一个过与不及的问题。他们做了太多以自身核心利益为出发点的事情,却很少以普通民众的身份去思考如何平衡它。更多的从普通民众的角度出发,这非常难,但却是我希望看到的。





推荐阅读

2022诸子笔会  

【10月主题:过与不及】

刘志诚   肖文棣  张永宏 杨文斌


【9月主题:查漏补缺】

刘志诚   张永宏  杨文斌  肖文棣  孙琦

  孙瑜  王忠惠  朱文义  陈圣  回顾


【8月主题:红与蓝】

刘志诚  张永宏  王忠惠  孙琦

  肖文棣  孙瑜  杨文斌 陈圣 回顾


【7月主题:误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  

朱文义  杨文斌  孙琦  陈圣  回顾


【6月主题:远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾


【5月主题:安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾


推荐阅读

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名


原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存