这些年,信息安全行业的现状!

这些年,信息安全行业的现状!

        前两天看到一个小视频,描述的是安全经理的年度预算被部门经理砍半了,安全经理带着小弟去部门经理那里讨要说法,部门领导提出了灵魂审问:“买了一堆安全设备放到数据中心,等设备涨灰安全策略都没有更改过”。我当时心里在想,是哪个不长眼的净说大实话,事情虽然可以被大家当作茶余饭后的段子消遣,但是也不免反映出部分的信息安全行业现状,晚上睡不着来聊聊信息安全这个行业的现状:

图片来源视频号•IT曼
图片来源视频号•IT曼
图片来源视频号•IT曼
图片来源视频号•IT曼

1.信息安全的从业者的技术水平不到位,无法驾驭该技术,制定出适合企业的信息安全策略;无法在安全性和可用性之间做出合理的平衡,原因当然有很多,最常见的就是没有充分理解、吃透企业的信息安全策略,对企业发展现状不了解,只从信息安全角度思考问题;安全需求分析阶段没有让业务、开发、网络、系统、数据库、中间件的同事参与,以至于后期开通策略畏手畏脚,瞻前怕后,这时默认策略的重要性就出现了,出了问题也是厂商的锅,也算是明哲保身了;

2.信息安全治理并不是自上而下开展的,执行管理层不清楚、不理解信息安全工作,认为信息安全每年花费大量的人力、物力、财力,成果确卓有成效,甚至安全事件更加层出不穷;所以每年对总裁室的大佬们(CEO,COO,CFO,CTO,CIO,CDO,CIO,CISO这些大佬们有多少在的信息安全治理委员会里)开展信息安全意识培训的重要性,不仅是让大佬们理解信息工作,更重要的是拿到金主们的安全预算,项目才是来年KPI最最扎实的背书,安全人员才能翻身做主把家当;

3.造成信息安全事件到底是安全技术不足的锅,还是安全管理的锅,信息安全管理和信息安全技术的边界到底要怎么鉴定,换个角度思考制定和执行策略算不算安全管理,稽核策略的执行情况包不包含技术;此时我又想到老司机(我前领导,操作风骚的一笔)忽悠各路审计、评估、检测、检查人员;懂得都懂信息安全从业者业务水平有多高,那么他的造假(忽悠)水平就有多高,【还记得监管检查前的那个夜晚吗?打印机纸盒里的纸还够用吗?】所以如果一个稽核者、审计者他的水平远远小于被检查者时,他的审计报告是否能够客观反映出企业的信息安全管理的“现状”?我一直是持怀疑态度的。当然了也要看合规的目的,这就扯远了,所以还是建议要入行的同志们不管做技术还是管理,基础知识还是要扎实啊,谨防被忽悠,要什么手表,哈哈!!

4.超乎想象,全球每年信息安全事件发生的原因信息安全技术事件只占20%,而由安全管理疏漏造成的安全事件却高达80%;唉!人永远是信息安全管理中最薄弱的一环,各种钓鱼攻击(电话、邮件、网页等等)、还有无处不在社会工程学;企业内部敏感数据泄露,哈哈!!!不瞒各位,90%是内部人员作案,古人云:日防夜防,“家贼难防”;有些技术大拿,以我现在的水平根本防不住啊,各种后门,说好听了叫做维护钩子,就算被发现也能搪塞过去,维护钩子也还算好,更有大拿离职前搞一些逻辑炸弹、蠕虫、木马等,可怕啊,只求HR不要招一些心里扭曲的人进来啊,瑟瑟发抖;

5.作为IT治理的1.5道防线,信息安全涉及IT管理的全生命周期,从物理环境安全、网络安全、主机安全、终端安全、数据和应用安全、业务连续性要求、软件开发安全、风险评估、安全认证(等保测评、ISO27001、PCI DSS、ITIL、ISO22301等等)、安全检测评估、内外审计、监管例行检查等等。“每天上班之前心里默念我在强监管企业上班”。看得出来信息安全工作之难,难于上青天;每天做不完的事情,搬不完的砖,各种报告更是要求从业者拥有贼高无比的文档功底。更可气的是,人员编制、预算严重不足,还到处得罪人;其它部门看到信息安全人员就像商贩看到城管,哈哈,有点夸张,但是话粗理不粗,也算是反映出信息安全从业者的窘状;

6.信息安全技术更新迭代太快,新概念层出不穷,这个行业真的是巨坑,大家慎入啊,真正意义上的活到老学到老,就算是你不想主动学,整个行业也会逼着你卷,别的行业如果是不进则退,哈哈信息安全从业者身后那可都是一道道鞭痕,都是血与泪的印记。而且类似于CISSP、CISA等从业者证书那可都是天价啊,比如CISSP,抛开备考的时间成本,培训费和考试费就需要1万5人民币左右,还不包括补考的费用;有人说考证书没有,那我只能说考国内的证书确实没啥鸟用,有本事你考考国际上的证书!

7.半夜起来处理安全事件(还未升级成事故),溯源!被吵醒睁眼的一瞬间心里一万个草泥马从脑海中飘过,想起曾经坐在堡垒机前面查一个月前的某个操作时;坐在ECC里看着一台台设备绿灯变成红灯时,领导断网了站在你旁边问你啥时好时;咦!压力山大,往事不堪回首,心里不强大的这个行业还真的不适合。

8.自从2017年以来国家层面陆续出台了《网络安全法》、《数据安全法》、《密码法》、《个人信息保护法》、《审计法》、《数据出境安全评估办法》等等法律法规,每个行业还有标准规范,企业内部规章制度。怎么说呢这些就是信息安全从业者身上的几座大山,越过去了就是大佬,可以变成手中的利剑,越不过去哈哈!!!就是扁担上睡觉 ———— 难翻身!!!

9.信息安全的每一个细小的领域,基本上就能养活一个公司,如果该公司领导有远见、内幕、关系,那么不得了不赚钱都难;尤其是这两年信息安全厂商如同雨后春笋般拔地而起,每次来交流信息安全厂商销售、市场、售前工程师一个个春光满面,这一看就知道捞了不少油水啊;对于信息安全从业者来说如何选择适合的安全产品,也是一个基本素养,当然选与不选之间有太多不可控因素,比如说关系户(在这方面吃过太多亏,一言难尽)!引用《甄嬛传》熹妃的一句话:“别让皇上在新欢和旧爱中感觉力不从心”。你品,你细品!!

远之作品

2022年8月19日

你可能感兴趣的:(这些年,信息安全行业的现状!)