诸子云社群自成立以来,北京、上海、深圳、武汉、成都/西南、杭州、厦门、南京、广州等地分会持续举办各类活动,有主题沙龙,有名企参访,也有线上分享。持续进行的这些活动,给会员创造了极好的见面、交流、学习、互助的机会,得到大家一致的好评和热烈的反响。

为了让参会的甲方安全专家能够更好地发挥“诸子”的群体智慧和经验,更加切中甲方安全建设、安全管理工作中的痛点及难点,围绕更“适合”甲方的主题展开分享和讨论,10月16日,诸子云深圳分会的特别系列沙龙活动——甲方安全私董会,于大家的殷切期待中首次在深圳紫苑茶馆成功举办。

这是一届纯甲方的高级别安全线下沙龙,旨在现有甲方沙龙的基础上,进一步拔高讨论水准,提升甲方安全从业者解决迫在眉睫的安全问题的能力与效率。

本次私董会由诸子云深圳分会主办,理事郑太海担任会议主持。在四个多小时的会议中,专家们专门针对“SDLC/devsecops如何真正落地,在敏捷开发环境下如何保证开发安全”“数据出境问题”这两个议题进行了深度讨论。

会议总结并分别投票选出了五个最受大家关注的痛点问题展开研究,让专家们在充足的时间里抽丝剥茧分析每个问题的本质,并让各方意见都得到了充分的表达。

活动氛围高涨,讨论也积极热烈,在场的每一名专家都提出了自己在日常工作中所困惑的问题,并彼此之间对各个问题表达了自己的观点和间接。整场会议结束,专家们都给出了非常良好的反馈,对私董会这样的活动形式也予以了高度认可。

本文将对私董会上专家们所发表的观点,以金句的形式进行呈现。

议题一:SDLC/devsecops如何真正落地,在敏捷开发环境下如何保证开发安全

痛点1:如何提升开发自主性?

1.可以建立优化反馈机制,提升优化安全流程以及平台可用性,从而提升技术部门的积极性;

2.应由研发技术部门作为SDLC的第一道防线,安全作为第二道防线,研发部门必须承担安全责任;

3.建立奖惩机制,做得好就奖励,发现问题就惩罚。

痛点2:如何衡量成熟度以及阶段性效果?

1.SDLC其实就是为了降低成本,推行SDLC后,提前发现了问题,降低后期整改成本;

2.从结果衡量效果,即通过SDLC提前发现了多少安全漏洞;

3.从效果衡量,可以从覆盖率来评判,即已纳入SDLC流程的系统;或者SDLC的本身流程的覆盖率或者自动化率。

痛点3::为什么SDLC已经推行这么久还是做不好?

1.安全部门很难从高层申请获得资源,高层通常希望使用现有资源实现安全的效果,因此如果将SDLC的责任完全归入安全部门,一方面会投入很多人力资源,另一方面研发技术的自主性不高,效果不好;

2.应平衡安全部门的监管和服务的属性。作为监管部门,就应该对其他部门进行赋能,通过培训的方式提升其他部门的安全意识及技能。

痛点4:如何选择工具,如何保证工具的有效性?

1.SDLC的工具一定要能够融入目前的研发流程,研发与安全共同完成SDLC的流程,安全不需要去执行扫描或者测试的工作,安全只需要做结果的检视;

2.SDLC流程中,最核心的要点是要在需求评审阶段介入,安全部门要能够从研发的角度,提出安全层面的建议。

痛点5:如何证明SDLC的价值?

SDLC的价值,就在于能够尽可能早的发现问题。

议题二:数据出境问题

痛点1::出入境双向的数据交互,如何选品?如何让中国的监管认可国外的审计结果?

交互的信息,可公开的数据可以直接交互,敏感数据是去标识化的,通过确定性加密的方式加密后传输。监管关注的是传输的敏感数据需要加密,因此保证传输的数据合规即可。

痛点2:数据中心该如何选址?

数据中心的选择,会倾向于国内也承认,国外也承认的,比如新加坡的数据中心,同时在本地设置一个DPO负责本地数据。

痛点3:如何选择第三方服务商和监管服务商?

第三方服务,除了咨询服务以外,还需要本地化,比如香港、澳门、美国等都只认可本地的报告,包括其他产品也尽可能选择本地化。这个过程中我们可以提要求,比如数据格式、监测要点等等;然后各自选型,在数据层面打通汇总,通过SOC进行统一管理(当然敏感信息还是要去标识化)。还有一种方法是使用开源的产品,后续进行内部改造,但问题是有时很难通过监管要求的认证。

痛点4:企业内部关于数据出境的职能划分,是法务还是安全?

法务主管从法律法规处把关,但是安全会做补充,特别从隐私角度给出安全管理建议和可能存在的风险,业务负责实际管理的工作。也就是说,法务、安全、业务要做到共同监督和把关。

这个过程中安全应该有一票否决权,如果业务不顾安全建议,出现问题需要由业务承担主责。如果业务不顾安全建议,可以走安全例外,例外有有效期或者整改期限。例外的审批流可以由安全来定,要由业务高层审批通过,让业务方明确现有的风险并选择是否承担风险。

法务与安全变为一个建议部门,提出相应的安全风险,业务可以选择是否采纳。但是如果风险过大,可能由全公司承担风险及损失。所以可以建立风险准备金(从原本的预算里抽出来),如果当年没出事,准备金就下发作为奖金;如果当年出事了,就扣除准备金。

痛点5;第三方属主职责该如何判定?

在国内,如果客户使用的第三方导致了信息的泄露,主要职责在公司;在国外,责任在客户个人。监管的核心逻辑为要企业自己证明,所以即便通过第三方做了风险转移,一旦出现问题,还是由企业负责。企业主要证明自己在选择第三方的服务时,进行了充分的安全风险评估。

现场花絮

扫码加入诸子云

点【在看】的人最好看