明日立春,甲辰龙年正式开启。新的一年希望自己能多读书,也会把自己的一些感触记录在这里。想到哪写到哪,不成体系,仅为记录。
在当前的大环境下,一个有着10年以上历史的复杂业务,需要更快速、更大力度的连续创新才能维持高速发展。而安全团队面对的命题则是“如何在业务拼发展的同时,持续提升整体安全水位”。
这是一个非常严峻的挑战,我们常常希望自己面对的问题是确定性的,也有人说安全要做好就必须消除不确定性。但是原有的业务本身已经是庞然巨物,当她在原有赛道和新赛道加速起舞的时候, 显而易见其业务安全会充满了巨大的不确定性。
1、安全风险的不确定性:业务在快速变化,安全团队是否能够清晰准确的、全景式的看到业务发展路径上的各种安全风险,并且能够对风险进行合理的排序。消除视野盲区的另外一个重要意义在于,可以避免在解决一个安全问题的时候引入新的问题。
2、业务自身的不确定性:有的业务产品这个月投产上线快速试错,两三个月后验证不可行被放弃。安全团队在安全能力建设方面如果没有前瞻性的架构设计和风险模型抽象,则会跟着业务后面吃尾气:为某个产品做的安全能力刚上线,该产品已经下线了。
3、协同关系的不确定性:业务在变,组织也会跟着调整,以往各方相对固定的协同关系和边界随时可能发生变化。而很多安全同学并不太擅长沟通,这会使得协同关系的动态稳定性面对很多挑战。
我们需要积极的面对不确定性,吴伯凡老师说:放弃对确定性的执念隐含着一种人性的美德——一种终极的勤奋和勇敢。
我们也需要聪明的面对不确定性,通过策略性的方法在不确定性的过程中取得确定性的结果。