也許你獲得了乙個管理安全團隊的機會,你擔心老闆的提供的支援到底有多少;或者,你已經負責乙個公司的安全有一定的時間,但你總是無法獲得老闆的有效支援。雖然,每次老闆在公開場合都會表達自己對安全工作的重視和支援,但是每次到審批預算和評審方案的時候,你的覺得有點上當的感覺。
8年前,我畢業加入一家電商公司的安全團隊,工作第一天,就被指定負責幾個產品線的安全(現在叫sdlc),4年前我又加入到了一家物聯網公司,被指定負責從產品線,安全運維,安全合規,以及業務安全等等相關的安全責任。我從乙個對csrf漏洞的概念都模糊的菜鳥,慢慢成長為負責乙個協助公司高層領導做風險決策的安全負責人。回顧之前和老闆的合作,越發相信獲得老闆的有效支援是安全工作基礎,最近一年的工作經驗也證實了這一點。
本文的目的就在於將我的經驗總結為三個關鍵的問題,
「1,老闆是否不懂安全」;
工作之初我也認為老闆是不懂安全的,事實上我當時定義安全概念老闆就是不懂的,比如說csrf的原理,sql注入的技術手段,高階的緩衝區溢位的方法等等這些專業知識老闆的確不懂,也可以說安全工程師概念中的「安全」老闆的確是不懂的,但是安全負責人需要關注的「安全」是否也不了呢?能否回答這個問題是安全負責人和老闆正常溝通的基礎。態度問題是一方面,還有就是概念的統一。
「2,老闆關心的什麼?」;
你是否覺得老闆的需求和關注點總在變化,有時候關注專案的進度,有時候有來過問價值,是不是還來問問團隊的情況下,如果沒有一幅老闆關注專案的全圖,你我很容易被老闆的這種多方位的需求給逼瘋了,疲於應付。之前我也一樣,甚至想換個公司或者老闆,目前我通過一副**決了整個問題,推薦大家一本《個人盈利模式》的資料。
「3,老闆有效支援前的決策過程是咋樣的」?
回答之前的兩個問題之後我們已經和老闆建立了正常合作的基礎,接下來我們還是需要有和老闆達成一套系統性的決策方法才能獲得支援。
解決上述三個問題,不一定可以獲得你預想的結果,但是可以和老闆確立系統性的溝通渠道和方式,最大限度的發揮安全負責人的價值。
CSJH網路安全團隊簡介
csjh網路安全團隊簡介 文章目錄 csjh網路安全團隊簡介 一級目錄 成立時間 二級目錄 csjh寓意 目錄 團隊擅長一級目錄 成立時間 二級目錄 csjh寓意 目錄 團隊擅長 csjh寓意 組織為什麼起名叫csjh?答 csjh c在英文本母中排名3 s在英文本母中排名19 j在英文本母中排名1...
自動化才能解放安全團隊
面對將近五成的誤報率,安全分析師正處在焦慮和失眠的煎熬中,只有自動化才是 安眠藥 idc的最新報告調查了350位內部人士 mssp安全分析師和管理人員,結果顯示,由於廣泛的 警報疲勞 導致警報被忽略,以及擔心漏報 遺漏安全事件 安全分析師的壓力不斷增加,而生產力則在下降。fireeye客戶成功副總裁...
雲檔案共享將為安全團隊帶來新的難題
在過去,工作人員通過電子郵件與同事簡單地共享microsoft word文件,這並不會引起安全警報。這種情況不在日常的安全審查範圍之內,也不會被安全監控中心當作安全事件記錄在案。也許本不應如此,但是無論如何,在快速採用雲計算的時代,這種文件共享,甚至通過電子郵件傳輸,確實正在被當作安全事件來對待,至...