🔪 🎊 💗 加强金融科技公司的信息安全文化 🐘 🐬 🥊

现代公司需要一种特殊的信息安全方法。信息安全部门不再只是主管和控制者，而是开始与人们积极交谈，并成为业务流程的正式参与者。

Exness fintech公司在全球拥有超过70,000个每月活跃客户，并且整个业务都在线上。数据是我们的主要资产和推动力，因此信息保护是第一要务。

Exness拥有500多名员工。大约有150名员工从事研发和IT工作，其中包括许多技术支持人员，销售经理，反欺诈和合规服务。它们以某种方式处理敏感数据，或者可以访问重要的功能，内部信息，代码，管理控制台。意外的错误或员工意识不足会导致企业损失数百万美元。您不必走得太远，例如：新闻中充斥着来自不安全的Elastic，MongoDB存储服务器或S3存储桶的泄漏消息，通常是人为因素造成的。

人是信息安全中最薄弱的环节，因此，我们将改进员工自身的信息安全文化作为自己的任务。我们分享我们为此所做的工作以及我们如何评估结果的经验。

我们将任务分为两个方向：

增进技术团队对安全问题的了解。
提高所有员工（包括非IT专业人员）对安全问题的理解。

我们将有条件地将这些区域称为“组织的”和“技术的”。第一个方向的工作是传达数字卫生，现代威胁，对策以及可能对企业造成的后果等常见问题。

第二个方向在性质上更加专业化。技术专家在工作过程中必须遵守信息安全规则，而他们不仅必须知道为什么要这样做，而且还必须确切知道什么以及如何做。

目的-安全意识

安全意识是公司信息安全的关键概念。员工如果了解，理解并共享信息，就遵守信息安全规则。

将规则传达给员工是一项明确的任务。激励遵守规则已经更加困难。我们知道，在汽车上使用安全带或用肥皂和水洗手会大大降低造成不良后果的可能性，并且可以自动进行而不会造成道德痛苦。在处理数据之前如何养成“洗手”的习惯？

安全意识始于认识到可以实现风险。您，您的系统确实可以成为攻击的目标。通过了解习惯，数字卫生成为工作环境和内部文化的一部分。换句话说，如果员工理解为什么这是必要的，以及风险有多高，则他们遵循信息安全规则。在这种情况下，没有内部电阻。

警长还是传教士？

现代公司非常重视员工的舒适度及其心理状态。这意味着即使在信息安全领域，也很难采取镇压措施：必须在行动自由和规则之间保持平衡。我们认为，了解威胁和对企业的责任感比害怕受到惩罚要好。有效实施信息安全的关键是与员工沟通并了解每个产品和每个团队的问题。

从理论到行动！

那么，我们的团队如何在组织和技术层面上引入信息安全文化？

员工培训和参与

对于新员工，我们将就公司的安全流程的组织方式，如何保护自己免受最简单的家庭风险（例如网络钓鱼，密码泄漏和恶意软件感染）进行演讲。

我们为所有员工举办研讨会（OSINT，品牌保护，SQL盲注，实验室机器渗透测试，特定于云的黑客技巧），并在内部活动中进行演示。定期的内部培训和现场演示非常重要。利用典型漏洞的示例比长期讲授的效果更好。用手指来解释什么是非对称加密，为什么需要令牌以及使用保管库的最简单方法是为技术团队节省大量时间。

企业社交网络安全迷你博客

我们试图保持来自IB团队的稳定职位流。我们的同事应该看到我们不断与时俱进，提出建议，宣布创新，试图引起兴趣并吸引每位员工。

定期的交流，经验交流

在我们位于利马索尔的办公室屋顶上，除了美丽的景色外，我们还经常使用100多人开会的可能性。一年两次或三次，我们会召集专家，讨论应用程序安全性，风险管理，devsecops实践和其他问题。公司员工和当地IT社区的代表参加了这些活动，在此方面，我们在内部文化形成方面的主要任务是表明信息安全问题既有趣又重要。

内部网络钓鱼

许多员工不相信打开链接或文档可能有害或不够警惕。进行内部网络钓鱼活动，我们会获得有关组织的统计数据（人们最常犯错误），并不断改进内部培训计划，以防范社会工程和网络钓鱼。我们还获得了网络钓鱼有效的确认。

食品安全

为了促进安全开发的文化和开发人员对安全问题的更好理解，我们实施了以下做法。

我们不断与产品团队沟通

我们去冲刺审查，架构委员会，并与技术团队定期讨论当前的问题和问题。因此，我们参与了每个项目，我们更好地了解了团队的氛围和关系。我们可以即时提出建议（保护的方式，原因和方式），并修复积压的任务。

我们在HackerOne平台上开发了一个外部漏洞赏金计划

三年多来，我们一直聘请外部专家来使用HackerOne平台在我们的基础架构中搜索漏洞。一年中，我们在薪酬支付上花费了超过5万美元，与可能的损失相比，这是一笔不小的数目。如果您没有漏洞赏金计划，建议您启动它。花很少的钱，您几乎可以获得无限的渗透。

我们还使用“互联网某人”发现的有关漏洞和潜在后果的报告。此信息可帮助企业决定增加新产品的优先级和增强对信息安全的要求，并在质量检查级别引入附加检查和自动控制。

我们正在命令中寻找（并找到！）安全活动，以进行本地产品安全控制

在现代现实中，使用Scrum / Agile模型时，每个团队中至少要有一个人可以作为您的建议指南并为产品安全“打气”，这一点很重要。理想情况下，每个团队都需要成熟的安全专业知识，但始终没有足够的资源。一段时间后，Devsecops或应用程序安全专家可以从Security Champion成长，因此这是一个改变产品工程师或开发人员关注重点的好机会。在我们的案例中，我们设法找到了开发人员和开发人员，他们极大地增进了他们对团队内部安全问题的理解。

我们如何为产品团队设置信息安全任务

为了组织工作，我们将OWASP ASVS方法与描述的业务风险结合使用。对于每个团队，我们介绍一个控制列表-产品安全要求。它看起来像一组建议，其中每种保护措施都对应于其自身的风险。该文档清楚地显示了企业已经接受了已经完成的，已计划的以及在产品生命周期的此阶段所面临的风险。

因此，技术团队可以看到需要做什么，而相关的风险向企业表明了为什么需要这样做，如果不履行，可能会发生什么潜在的后果。

如果还没有采取措施，我们认为相应的风险是可以接受的，并且对于每种产品，我们都会承担技术安全债务。

控制和相关风险的示例：

结果是什么？

为了衡量所有活动的效果，我们认为使用的指标反映了产品生命周期各个阶段安全文化渗透的动态。

在我们努力的技术方向上，我们使用两个主要指标。

1.产品安全指数

这是一个由两部分组成的整体指标。第一部分是一个滞后指标，它讨论了产品漏洞的当前水平。第二个是可预测的，谈论未来的潜在漏洞。通过定期进行测量，我们可以及时吸引团队注意特定产品的问题，并帮助解决它们。

OWASP WRT — . , .
-, .
OWASP ASVS 3.0. , .
- , . , , .

2.合格的外部公司进行的定期

渗透测试的结果基于外部渗透测试的结果，我们更正了发现的漏洞并得出结论，以避免重复类似的情况。
即使是好的结果也不能使我们放松，每天都出现新的威胁和攻击媒介，攻击者变得更有创造力。

在组织方面，结果更加主观：

与以前相比，我们从员工那里收到了更多有关潜在漏洞和事件的消息。员工了解及时沟通的重要性。
产品团队进入该项目的早期阶段，据了解，预防问题比解决问题容易得多。
, . , API, , .
GDPR — , , , .

?

( , , , );
;
KPI ;
, ;
使用经过验证的高水平产品安全性来获得竞争优势。

我们确保不仅可以通过政客和NDA惩罚，强迫和恐吓团队，而且可以通过使用不同的方法来实现良好的安全性-解释风险，让人们参与制定和遵守规则的过程，研究并考虑过去的错误。

加强金融科技公司的信息安全文化