写在前面
最近跟一个头部大厂的安全负责人在一起交流,期间聊到他们现在最头疼的问题,就是业务部门的研发吐槽安全吐槽的太多了,在业务部门研发眼里,安全团队就是一群给业务找麻烦的人,要如何扭转这个局面。
上一次直播的时候,有一个甲方负责安全工作的朋友,也提了一个在甲方做安全,困扰大家最多的一个问题,就是安全工作如何赢得业务和老板的认可。
现在最头疼的问题,就是安全团队在公司管理层和业务那边没有啥存在感,公司裁员降本增效,第一个裁安全,搞得现在企业安全团队都干的很焦虑。
以上两个典型的问题,基本上是当下大多数企业安全管理者和从业者都面临的困境。
今天我们就来深入剖析一下导致当下这个现状的一些根本原因。
企业安全正在丧失研发同学的信任
之前我有写过文章说过,今天大多数企业的安全团队正在丧失研发同学的信任,究其根本:
- 1、无休止的漏洞需要修复,且很多误报、不清晰的修复方案导致工作成本很高,无法说清楚漏洞的真实影响;
- 2、最重要的是研发修复漏洞的工作无法获得正向反馈,既不会被纳入工作成果,也无法即时获得激励;
- 3、相反,研发同学如果抵触修复漏洞,得到的只有抄送上级,公开晾晒的压力;
- 4、甚至,还有非常难操作和使用的各种安全工具、平台,需要强制配合使用;
我想,这些事情如果发生在任何人身上,都会失去耐心和异常的抵触。
那么根本原因还是在于,过去安全团队太关注漏洞本身,关注技术本身,而忽略了业务研发团队在处理安全漏洞这件事情上的体验、付出的成本及价值收益。
这些是每一个人去做一件事情都会关注的最基本的几个关键因素。
那么如何去挽回研发同学的信任,我想有几点是很关键的:
- 1、给研发派发一个漏洞和工单时,要先设计好他干完这个工作之后的成果是什么?比如修漏洞这个事情是否能够放到他和他老板的工作目标里去,不让他打黑工?又或者有一个公开的表扬或者把他的工作成果同步给他的老板?或者其他更适合公司的办法?
- 2、尽量去把每一个推送给研发的安全问题,有清晰易懂的可解释?哪怕是误报,研发也能够低成本的判断是误报?
- 3、给出清晰易懂,可执行的修复方案?在设计面向研发的安全产品和工具的时候,认真的从产品视角去调研研发用户的需求?而不是给一个只有安全专家才能看懂和用明白的工具?
综上,其实安全团队需要一个好的产品经理和运营,需要产品经理来理解用户需求,产品和运营同学一起来为研发用户真正创造价值。
业务需要安全创造更多的价值而非负担
我时常在想,安全的核心价值到底是什么?
我想终究还是要回到为公司控制安全风险,为业务解决安全风险。这句话最关键的是两个点:
- 1、安全的用户是公司(公司管理层/老板),以及业务(业务负责人);
- 2、创造的价值是控制他们的风险;
那么这里面有一个最关键的前提,就是我们所做的所有事情,是不是用户(老板+业务负责人)真正认可的风险和价值。如果是,那么安全创造的是价值,如果不是,安全创造的是负担。
所以问题的本质,就回到了我们如何挖掘到公司管理层及业务负责人真正关心和认可的风险,并且与他们达成共识。
关于安全如何挖掘业务价值?
我想周天(6月29日)晚上19:30,花3个小时,好好聊聊我们在各种场景下,安全如何挖掘业务价值,并且赢得业务的认可。
