CSO说安全 | 徐越:定位——安全团队破局之路

资讯 作者:安在 2022-07-10 21:46:35 阅读:335


由安在新媒体联合中国网络安全审查技术与认证中心(CCRC)共同举办的第二届“超级CSO研修班”,于2022年2月27日圆满结营。20位学员历时5个月,完成17节专业课程,经历名企参访、课堂作业、私董会和赛歌会,更交付了20篇毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。


第二届“超级CSO研修班的学员们分布更加广泛,不仅有银行、证券、保险、运营商、互联网,更涵盖了汽车、快递、快消、咨询、智能制造等多个领域。在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。


本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。




CSO说安全:定位——安全团队破局之路



徐越
北京星阑科技CTO



01
安全团队之困


企业级的网络安全体系建设,不仅是一个技术问题,更涉及到制度建设、沟通、业务协作、监管合规和招采的方方面面。针对技术背景的管理者,我们常常听到做安全的难处:


1.“事情忙不完,人手不够预算又太紧。”

2.“公司降成本,安全部门首当其冲。”

3.“出事了,要你何用?没出事,要你何用?”

4.“业务部门不同意安全方案,推不动。”

5.“安全leader没有进入公司决策层,难以做前瞻性布局。”

6.“外采安全能力,受到采购部门的干预没有按预期计划进行。”


以上情况的出现,综合来看可以概括为一个核心问题——安全部门如何获得更多资源。这就涉及到安全部门的定位问题,定位决定了预期价值,从而决定了企业在安全方面分配的资源。据数说安全统计,美国政府部门网络安全预算占IT预算的比重是19.8% 、民事部门15.3%,而中国网络安全预算仅占IT预算1%-3%。在这一强烈对比下,企业安全负责人在实现既定目标的同时,也应当以业务成果和公司发展为导向,积极探索、深入思考安全部门对企业的价值所在,为团队开辟更广阔的战场。




02
从“保障业务”到“赋能业务”的定位转变


对安全部门的一种认识:安全是风险控制、成本部门,花多少钱,期望兜住多大的损失。


部分安全工作是难以数字化衡量的,如果没有跳出这个观点的禁锢,陷入“投入产出比”、“量化”、“保障”的陷阱,往往搬起石头砸了自己的脚。同时,安全与业务没有建立共赢逻辑与目标割裂,将为安全规划落地造成一定阻碍。


当今无论是甲方还是乙方,从企业安全管理者到安全技术人员,都期望改变这一现状。唯品会前CSO黄承提及“从成本部门向质量部门”转化实践,指出“成本部门”是计算投入产出比,而“质量控制”是0和1的区别,从根本上解决预算问题;乐信CISO刘志诚提出,从“安全风险”到“技术风险”再到“技术本身”的转变路径,最终完成“安全改变业务”的目标。


同时,乙方营销思路在近年来发生的转化也可窥见这一趋势。


1.事件驱动:通过漏洞通报、行业安全大事件、PR展示外部攻击猖獗、亲自下场推动攻击等方式达到客户“睡不着觉”的效果——“你有病,我有药,你不买疼的是你”。


2.概念驱动:把安全技术原子化拆分重组,形成新的解决方案,包装成新概念,自身成为新概念的“领导者”——“我来告诉你什么叫健康”。


其逻辑还是秉承着安全是保障、是控制风险的定位。随着企业产业的逐渐成熟,各安全leader早已习惯了这种恐吓,同时对新的安全概念有了一定的钝感。当下,乙方有必要辅助甲方思考“安全如何赋能业务”这个命题,共同推进行业发展。


3.安全+:解决安全问题的同时对业务带来正向价值——“这种保险不仅能兜住风险,更是一种理财手段,即使不出险,也能提升未来的现金收益”。


近年来国外生态对于网络安全赛道的表述已经转为Security & Governance,即安全效果+合规。同时,融合安全价值与业务价值的解决方案也已经屡见不鲜:CDN厂商集成WAF功能,SASE为企业提供更快的部署,更简单的管理和更安全的访问能力,数据安全厂商提供的数据治理+分发+风险识别的一体化解决方案,以及兼顾研发效能与安全测试的DevSecOps平台,提供高性能+安全防护+商业数据分析能力的应用网关等等。从RSAC 2021评选的创新沙盒十强中可以发现,有6家的产品不止为企业安全部门提供支撑,还有横跨运维、研发以及数据管理方面的价值。


在此背景下,我认为的安全定位:安全是一种平台化能力,同大数据、算法一样,是驱动业务发展的引擎。


这一逻辑早已存在,甚至早已落地,但大量安全从业人员认知仍未转变。事实上,不少企业安全部门经过长期建设已经积累了大量数据与技术能力,只需完成数据关系与业务场景的整合,不仅能够支撑业务的trouble shooting,还可以在BI场景直接产生商业价值。



03
找到安全与业务的结合


我们不妨跳出“规避风险”的框架,重新思考安全部门将为公司带来的最大价值是什么,找到业务结合点。


回答这个问题需要商业思维和产品思维,以及对企业发展阶段性战略的深入理解,这对以控制风险为主的安全leader提出了更高要求。


▶ 行业驱动力


笔者认为当下国内网络安全行业的核心驱动力有以下两个方面:


一、“三驾马车”架构下逐渐完善的法律合规体系

2021年我国在网络安全和数据保护领域的立法高歌猛进,9月《数据安全法》、11月《个人信息保护法》与2017年6月生效的《网络安全法》一起共同构成了我国网络空间监管的“三驾马车”,其衍生的数安条例、关基、等保2.0、信创等几个领域无不牵动着国内安全产业的神经。


二、“万物互联”时代,IT基础设施演进带来的安全问题

从“边界防御”到“纵深防御”再到“零信任”,边界瓦解,终端安全能力已广泛落地,安全管控粒度正在不断细化,其中产生的安全问题包括:


•IaaS层新基础设施迅速崛起导致的攻防不对等——云平台、容器、微服务安全;

•SaaS层以API为交付物的软件供应链变革——API安全、业务安全;

•大规模分布式架构下的安全协同问题——SASE、零信任、XDR、CSPM。



▶监管下的显性安全价值


合规,是业务发展的必要条件,甚至影响到公司生死存亡。这种“卡脖子”问题,可以突出体现安全部门的价值。


APP专项治理。2021年5月《常见类型移动互联网应用程序必要个人信息范围规定》正式施行以来,网信办、工信部和公安部聚焦超范围收集、未经同意收集使用、未提供撤回同意选项等侵犯用户权益的痛点问题,累计通报了逾千款App。在处置过程中部分App功能被限制,如笔者经常使用的Boss直聘关闭新用户注册,天涯社区、大麦、途牛旅游、脉脉等知名App也遭遇下架处理,这无疑对企业业务发展带来直接威胁。


境外上市网络安全审查。滴滴在美上市后引发的网络安全审查事件,使得网络安全审查制度成为社会关注的焦点。要想境外上市,先过网络安全这一关,安全的重要性直接走入资本及CEO视野。


汽车数据安全监管。随着新能源汽车的起势以及近年来大量互联网企业入局,大量的车辆影像及路况信息成为国家数据安全监管的关注方向。2021年10月《汽车数据安全管理若干规定(试行)》作为我国首个汽车行业数据安全方面的部门规章,开启了汽车数据强监管时代。2021年底多省市网信办要求汽车数据处理者开展汽车数据安全管理情况报送工作,预示着《若干规定》实实在在地落地实施。



▶安全赋能业务


手机隐私泄露场景一向是C端用户的痛点。我们常常看到这样的吐槽:老王早上搜索了耐克鞋,晚上不管是抖音、知乎还是朋友圈铺天盖地的都出现了运动鞋的广告;小刘发现洗发水用完了,正打算买就发现了京东洗发水的广告已经推送到了手机上;更有甚者,和朋友聊天过程中偶然提及的关键词,也能触发广告推荐。


IOS一向宣称非常注重用户隐私,相对之下Android隐私保护之路却崎岖无比,直至今日仍有大量主流软件以“用户体验优化”为由不停采集用户数据。


在小米CSO陈洋的分享中,我们看到小米通过“拦截网”、“隐匿面具”、“照明弹”等一系列简洁的产品功能,将隐私交还用户,使用户对手机App收集数据的行为可见、可控。降低app敏感权限调用次数90%以上,贴合个人隐私保护、收集App专项治理等监管趋势,推动“应用行为记录”等功能列入手机入网标准,同时推出“小米隐私”品牌宣发其理念与用户承诺。小米安全以技术赋能业务,一并推动用户、监管、品牌,一举三得,可见其战略智慧。


▶安全即业务


安全能力是否可以直接商化、“以战养兵”呢?我们看到大型互联网公司以阿里、腾讯为例都走出了这条道路。此外,金融、能源、医疗等传统行业部分拥有自建安全能力的企业,也正在借助行业下游生态完成安全能力的商业化,无论是以自研还是渠道、集成的模式,拥有直接营收的安全部门对比内部保障为主的安全部门其预算压力、资源调动能力甚至技术迭代速度都有天壤之别。



04
安全团队结构的变化


由保障定位向业务定位转变的过程中,除了战略方向性的判断以外,安全leader执行过程中也会遇到诸多问题,首当其冲的就是团队结构的变化。


▶讲好一个故事


组织就是一个故事+一群人,聚力方能成事。从人类的发展史来看,人类是如何区别于其他生物,最后创造出了有数万居民的城市、有上亿人口的帝国?这里的秘密很可能就在于虚构的故事。就算是大批互不相识的人,只要同样相信某个故事,就能共同合作。不管是宗教、政权还是企业、团队,都被这种由想象所建构出来的秩序推动着。


“如果你想要造一艘船,不要鼓励人们去伐木、去分配工作、去发号施令。相反,你应该做的是勾起大家对浩瀚无垠大海的渴望。”


讲好一个故事,是每一个领导者的必修课,故事,就是我们是谁、我们要去哪、我们怎么去,落实到公众演讲、汇报、招聘、文化建设等方方面面,正如贺嘉所说“金句的背后是凝练的认知”,领导者的个人魅力、组织能力并不是与生俱来虚无缥缈的东西,也不是表面话术技巧的训练,而是背后无数次思辨得到的工作成果。招不到人、留不住人,本质上是对人与事的认识深度不够,亦或是未将“聚力”当做第一工程。领导者应坚持学习、持续思考、化繁为简,为大家指明方向,并以实际行动驱动大家前行。


▶产品化编制


针对大型企业的安全团队,“向外看”的职责应由leader个人工作转向一种团队模式,从而实现长期可持续发展,这就要求安全部门不仅要建设有力的技术支撑团队,还要有产品经理、架构师等岗位编制。对于外部赋能的安全部门,无论是直接市场商业化还是对接下游生态,还需建立基础可运转的前场体系。


产品化,是技术型安全团队的能力放大器,赋能业务这条路线必然会导致需求转化以及技术的可复用性、维护成本等挑战。



05
结语


国内安全行业目前仍然是一个初级阶段,在中美博弈的大背景下,随着政策激励与IT基础设施演进,这个当下市值没有小龙虾大、弱经济周期关联、碎片化严重的市场再次走到了垂直整合与迅猛发展的前夜。愿更多“爱一行,干一行”的网安人能够以知识克服焦虑,以实践代替观望,不断探索求变,为数字世界带来更多安全感。



第二届超级CSO研修班全貌

过程回顾


开营  导师团  结营 

导师授课


谭晓生  刘新凯  欧阳梅雯  欧和  贺嘉  

吕一平  黄承  杜跃进  李吉慧  杨哲


学员论文


丛林  张福明  宋士明  冯斯恩  王书魁  




首届超级CSO研修班全貌

过程回顾


首发 CSO说 报名 导师团 领航 价值 开营 揭幕 结营 

导师授课


谭晓生 黄承 马民虎 季昕华 陈建 宋琳 杜跃进 段海新 胡洪涛 
潘立亚 周斌 刘新凯 杨哲 贺嘉 

学员论文


向阳 廖位明 张永刚 郑太海 胡广跃 秦峰 黄乐 赵锐

洪岩  刘峰  



齐心抗疫 与你同在 



点【在看】的人最好看


在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接