2023年4月29日19:33:26评论31 views字数 2581阅读8分36秒阅读模式

‍‍

谈信息安全工作中的平衡和协调 | 总第188周

0x1本周话题

各企业流程与质量改进部门一般通过什么方式对其他平行部门工作质量与流程做改善？安全质量、开发质量、内控质量、数据质量等是否有通用的方式？

A1：最简单有效的是把安全的要求融入各个部门的KPI或OKR考核吧。

A2：这个不简单，我们业务开发就完全不考虑安全。

A3：业务开发要向业务方负责，安全需求也是业务需求的一类，找业务方说明背景、目标、价值后，更容易推动落地。协查配合除外。

A4：这种得自上而下了，除非跟各业务老大都处的非常好。安全在下面自己推确实比较难。记得二月份群里那位大佬的直播分享，讲他们还拉了各个业务老板签保证书。QA测试都有质量分，按bug扣分，安全漏洞算到里面有一定效果。不过个人感觉安全还是单独写kpi效果更好。

A5：最重要的是达成一致，基本上找平行线的老板直接谈就行了，本质互惠互利，一起帮助公司降低安全合规风险，提升产品质量，一般各条线大老板不太干活，不负责太细节的工作，觉得这个事情有价值，都会答应，推脱的情况起码比下面的人少很多，当然如果达不成的话，一开始就是安全辛苦点，慢慢增加要求。一旦能达成一致，配套的政策、全员通告、甚至类似的保证书啥的，都可以用起来，防抵赖。

Q：知易行难，建议不要光说，上去试一试。听起来理论很好，为啥实际中很多搞不动？

A6：我们搞了很久，才把评审、技术方案、评估测试这些让其他团队都能参与进来。前年推越权测试，让研发自测，测试全量验证，安全抽检，花了半年多。实际总会遇到油盐不进的人，要么往上走，找最大的老板支持或者软磨硬泡，要么找到一些安全事件驱动。最有效的肯定是事件驱动。

A7：可能性太低。高层领导，对于安全的要求是只愿意解决一个点的问题，不愿意接受长远规划的投入。

A8：安全就不可能被定义为kpi的，各条线老大的核心指标也是出业绩，搞得再安全，没业绩都是白搭。

A9：一般风险事件放到 kpi 里，安全是风险事件的很小类别。

A10：之前记录的一点思考，能不能定kpi前提还是看高层的支持程度。

A11：安全可以是控制，可以是刹车，但这个踩刹车的人不一定是安全。信息安全的管理策略和目标应该跟组织战略方向一致。极端情况，业务自己承担风险要求什么都不做，管理层确认可以，那就什么都不做。信息安全风险管理和决策只是组织风险管理和决策的一方面。

A12：业务人员才不傻，不会明着说，只会阳奉阴违。同样老板也不傻，嘴说说的都很重视，实际行动就很诚实。

A13：业务会跟你各种撕扯，就算你在这里撕赢了，他们还会在别的场子找回来。你真扣他KPI试试，业务都是大爷，惹不起。但有就是个进步，哪怕是个面子活。

A14：其实很多纠结的点在于，安全人员认为业务or管理层并没有正确地认识安全风险，然后尝试说服，就很被动。往好处想，可能是担心打击到积极性。

A15：现在法规逐渐完善了，从合规方面入手，接受程度会高一些。有的条款也是直接处罚到个人的。跟业务讲风险，很难说服，本身两类部门和人员的思维方式和风险接受程度就不一样。我是觉得，安全找准定位和抓手就行，毕竟让车停滞不前不是刹车存在的目的和意义。

A16：所以安全战略一定是在组织战略，组织的风险偏好下定义的。

A17：就像开车有风险，为了安全，你让他踩刹车、系安全带这个就可以，但是你如果让他把车安上坦克装甲、安上智能雷达、激光等要花很多钱的安全设备，那时候再试试。不发展不赚钱是最大的风险。但是安全有个悖论就是，公司可能发展了，但是搞安全的却不安全了。

A18：该做好配角就做好配角，善战者无赫赫之功。

A19：是的，摆正自己位置很重要。

A20：大家在搞安全过程中，技术方案细节安全是否有时候要参与甚至直接出方案，写防护代码或demo，然后推防护体系的时候，需要不停地搭环境，测试验证，主动去考虑到所有可能风险，主动将实施难度或者配合方的工作量降低到最低，才可能软磨硬泡后成功推进。安全是支撑部门，但是如果只是躺，虽然也能活，但是这工作就没意思了，往前走一步，干点辛苦活，很多时候还是能推进的。当然，业务和安全平衡是肯定要的。所以需要一点点试探测试，确保有结果，才可能继续。

A21：研发定安全kpi不是限制业务发展，扯远了。具体落地到研发个人，就是类似这么一条：自己写的代码不出现高/中/低以上级别安全漏洞。如果被发现高/中/低漏洞在xx时间内完成响应修复。目的是让大部分人，在个人层面有意识有动力在开发的时候考虑安全，而不是完全不考虑，都丢给安全团队兜底。

每次出事，业务的老板都会被高层问责，对于业务老板自己来讲，不能每次就自己被问责，下面人没有啥改变，他怎么保证自己下面的开发少出漏洞？kpi落到个人，作为绩效评价指标的一部分。落下去了扣kpi也是业务的老板自己去扣自己下面的研发，安全不会直接插手到业务团队的绩效评价。

Q：最近在想，搞安全的真能对抗内部违规吗？比如违规下载数据、违规使用数据等。

A22：一些来自人性的违规，恐怕对抗成本很高啊。而且内部违规可能比外部要高的多。

A23：纪委严查，仍然有贪污的，企业里各种项目申请、报销审核，有稽核审计等，但仍然有吃回扣的。

0x2 群友分享

【安全资讯】