技术岗里,开发、运维,都没有落地这个说法,唯独安全有落地这个说法。这是因为,开发及运维工作的落地,不需要其他部门配合,自己部门本身具备一切落地的要素。哪怕是体系化的复杂一些的工作,比如重构,也不需要其他部门的配合。而体系化的企业安全建设里,落地建设就离不开其他部门的配合。单应用安全里的SDL,其落地就折磨了数不清的安全从业者。
安全工作的落地,跟安全在公司内部的战略位置,是息息相关的。而战略位置,跟公司规模关系不大。大型的集团公司,不一定自建安全团队,可能就外包就够了。没有盈利的小公司,也不一定不会招聘安全人员。
安全的战略位置一般为三种状态,挂件安全、一般安全、核心安全。
挂件安全状态,就是没有多少存在感,没有多少权力的状态,其本身存在的意义,只是为了合规等,公司有这么一个角色就行,水平无所谓,能干活就行。
一般安全状态,就是跟其他部门平齐的状态。这种战略位置比较容易达成,只要出现一次稍大一些的安全事故,影响到业务,公司对安全的重视程度就会拉齐到这种。这种状态下,其他部门会尊重安全的专业意见,安全具备与业务部门PK的资格,在事务重要性的PK上,安全是可能赢的。
核心安全状态,这种就比较难达成。私企就只有像谷歌、微软这种大型、轻资产、科技公司才是这样的。安全负责人是总裁级别,能参与公司层面的决策,公司层面的小会是有位置的。
制约安全落地状态的是安全在公司内部战略位置。最佳安全实践,在业内都是公开的,有条件有资源,照着抄谁都会抄。难得是,如何在制约状态下,尽可能通过灵活的方式去实现去覆盖去搭建公司的安全体系。
根据安全在公司战略位置的不同,其安全组织、团队规模、人员职级、薪资范围、落地程度、落地内容等都会有所不同。
挂件安全里,安全部门完全没法干涉干预其他部门。团队人也比较少,负责人会直接参与直接负责一线工作。安全落地的方面也不会全面,无法全面。落地出来的内容会类似打补丁似的状态,这里一块,那里一块。会采用很多开源的系统工具,可能能够在开源基础上做一些使用优化,规则优化,但无法涉及开源底层。公司完全没有预算去采购商业化的安全产品。也不会有人帮忙推动其他部门落地安全内容,完全靠安全自己去推动。
一般安全里,在高优先级的项目中,能调动其他部门资源。安全团队规模,会有一个阈值,感知很明显的清晰的阈值。安全具备协商权,无决策权。网络安全能够落地一些方面,能够有预算去采购一些商业化的产品来进行安全建设。能有专门从事安全运营的岗位,去运营设备与系统,解答其他部门的疑问,处理一些非技术方面的杂事。安全负责人,无法完全脱离一线工作,会涉及到对一线具体工作的指导。
核心安全里,可能会存在安全委员会这种虚拟组织,企业安全是全体部门的分内职责。安全团队规模会很大,可能每个业务,每个分公司都有一定规模的团队。安全在公司具备话语权。安全的人员职级,会普遍较高,网络安全各方面的内容都能够进行落地,会采用自研的方式来对自身企业进行安全防护,甚至有能力将安全能力做成安全产品对外提供。有人员专门从事安全研究工作,引领网络安全攻防的发展。安全负责人会完全脱离一线的工作。对一线工作的指导,也有各方面的负责人处理。
安全的落地推动,分两种角色,这两种角色的负责内容不一样,其推动策略方式也会有所不同。
一种是项目负责人角色,就是出项目方案的那个。出方案的时候就应该对方案涉及的其他部门,工作内容,落地顺序,大概时间,互相协作方式等有一个预期,在进行项目沟通方案沟通的时候,就应该将这些信息同步给关联方。这样关联方会对项目整体有个了解,再根据其部门本身的工作事务,在其制作工作计划的时候会更加恰当一些。所以安全项目方案沟通的时间点,也最好选在季度OKR或KPI制定之前。然后项目进行中,需要与关联方有密切的沟通,及时同步所有进度。可能一个项目涉及的部门有好多,是有顺序进行的,及时同步信息也有助于接下来的部门有心里预期。
一种是安全这边的项目执行者的角色,就是实际落地项目方案人。在进行自身的工作落地的时候,应该及时跟两方面同步进度跟困难。一方面是项目负责人,一方面是当前的其他部门的对接人。这样在安全归属范围内的工作完成之后,对接部门因为有预期,他能够安排好人来做接下来的工作。然后执行角色,还应该继续跟进对接人的落地进度。因为后面工作可能牵涉到其他部门或回到安全自身,安全也需要及时的信息以便调整工作安排。
入职时最好能够了解以上信息,以便能对安全工作有相关的心里预期。安全的战略位置,牵涉的可能还有年终奖、调薪与晋升、工作顺利程度、技能发展、职业发展等等。有了匹配的心里预期,才能在公司比较顺畅的进行工作。否则,面对一些协作工作,可能会产生比较大的情绪。而且技术人员相对业务人员可能更加单纯,不太擅长处理这些,会工作的很不开心。希望大家都能有清晰的自身定位,清晰各种选择面对的是什么,理智分析利弊,做出适合自己的选择。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。