也许你获得了一个管理安全团队的机会,你担心老板的提供的支持到底有多少;或者,你已经负责一个公司的安全有一定的时间,但你总是无法获得老板的有效支持。虽然,每次老板在公开场合都会表达自己对安全工作的重视和支持,但是每次到审批预算和评审方案的时候,你的觉得有点上当的感觉。
8年前,我毕业加入一家电商公司的安全团队,工作第一天,就被指定负责几个产品线的安全(现在叫SDLC),4年前我又加入到了一家物联网公司,被指定负责从产品线,安全运维,安全合规,以及业务安全等等相关的安全责任。我从一个对CSRF漏洞的概念都模糊的菜鸟,慢慢成长为负责一个协助公司高层领导做风险决策的安全负责人。回顾之前和老板的合作,越发相信获得老板的有效支持是安全工作基础,最近一年的工作经验也证实了这一点。
本文的目的就在于将我的经验总结为三个关键的问题,
“1,老板是否不懂安全”;
工作之初我也认为老板是不懂安全的,事实上我当时定义安全概念老板就是不懂的,比如说CSRF的原理,SQL注入的技术手段,高级的缓冲区溢出的方法等等这些专业知识老板的确不懂,也可以说安全工程师概念中的“安全”老板的确是不懂的,但是安全负责人需要关注的“安全”是否也不了呢?能否回答这个问题是安全负责人和老板正常沟通的基础。态度问题是一方面,还有就是概念的统一。
“2,老板关心的什么?”;
你是否觉得老板的需求和关注点总在变化,有时候关注项目的进度,有时候有来过问价值,是不是还来问问团队的情况下,如果没有一幅老板关注项目的全图,你我很容易被老板的这种多方位的需求给逼疯了,疲于应付。之前我也一样,甚至想换个公司或者老板,目前我通过一副图解决了整个问题,推荐大家一本《个人盈利模式》的数据。
“3,老板有效支持前的决策过程是咋样的”?
回答之前的两个问题之后我们已经和老板建立了正常合作的基础,接下来我们还是需要有和老板达成一套系统性的决策方法才能获得支持。
解决上述三个问题,不一定可以获得你预想的结果,但是可以和老板确立系统性的沟通渠道和方式,最大限度的发挥安全负责人的价值。