关于“构建安全话语体系”的一些思考
在大型互联网企业中,业务场景复杂、产品和平台敏捷迭代、研发人员和安全人员的配比失衡是常态,同时也面临国家不断立法、监管安全要求不断提高的外部态势,安全团队需要把企业安全文化和员工安全心智建设真正落地,才有可能大幅度提升企业的安全与合规水位。
如何建立企业的安全文化,如何让管理层认同安全战略并投入资源,如何协同IT、运维、质量等兄弟团队共同推进安全体系落地,如何驱动业务研发在本职工作已经比较饱和的情况下支持好安全建设。以上种种需求,安全团队可以根据企业自身的情况规划适合的方案和实现路径,其中一个必不可少的环节就是构建安全话语体系。
话语体系是思想理论体系和知识体系的外在表达,它不像权力或者口径可以通过仪式化的方式获取,只能通过长期运营建立。以前业内常说某某公司的安全PR是对普通用户的“安全恐吓”,其实这就是该公司对互联网用户建立的安全话语体系。有些互联网企业的安全团队,也会把漏洞修复的通知固化成邮件模板,这也是运营安全话语体系的一个方式。
使众人与你同行的前提是大家真正理解你想做的事情,理解其价值和意义,因此话语体系尤为重要。在大多数企业内部,业务和研发同学理解安全团队的话语体系并不是很容易,原因有以下几个方面
1、黑产和黑客攻击使用的技术手段往往需要具有一定的相关领域知识才可以很好的理解。很多漏洞利用极其复杂,即使是普通的安全工程师都理解不透,业务研发同学理解起来更是成本极高,难以关联思考对自己业务产生的影响。
2、安全风险细分领域较多,Web安全、客户端安全、数据安全、隐私合规、反洗钱等等,在企业内部往往也是由不同的团队分工负责。各团队如果缺少协同,安全团队内部就会形成风格差异较大的多个话题体系,而在业务同学看来这都是安全话语体系,难以形成统一和稳定的心智。
3、安全团队的表达能力相对一般,广泛使用各种“自定义”术语,比如SSRF、RCE、OOB、XXE、水坑攻击等等。如果不经过通俗的翻译,业务同学往往难以理解。
总体上来说,构建安全话语体系是对安全团队来说是一个很大的挑战,需要从顶层设计到落实执行都有细致的规划,包括
1、协同:不同风险域和不同BU的安全团队需要做好连接和协同,设计统一的安全话语体系,避免“九龙治水、一条龙一个腔调”的现象。
2、聚焦:聚焦业务较为关心的话题进行安全心智的打造,如数据安全、隐私合规等,其他风险域梯次排序。
3、分层:对于不同的受众采用差异化的形式和内容进行运营。
4、体验:各种宣传材料应该尽量制作的通俗易懂,同时也让受众能够有所收获。
安全话语体系设计和运营的好,能够把公司的安全建设思路以及对业务发展的战略价值清晰的透传到每一个员工耳边和心中。当大家真正的理解了安全合规工作的内涵与外延,每一个人、每一个团队都会成为安全的战友和同路人。
周末躺着也有点累,无聊随便写一点文字,先写这么多,大家元旦快乐!
