823
互聯網企業安全高級指南3.3 如何推動安全策略
3.3 如何推動安全策略
首先,推動安全策略必須是在組織中自上而下的,先跟高層達成一致,形成共同語言,對安全建設要付出的成本和收益形成基本認知,這個成本不隻是安全團隊的人力成本和所用的IDC資源,還包括安全建設的管理成本,流程可能會變長,發布鏈條會比過去更長,有些產品可能會停頓整改安全,安全特性的開發可能會占用正常的功能迭代周期,程序員可能會站起來說安全是束縛,這些都是需要跟各產品線老大達成一致的,他們要認同做安全這件事的價值,你也要盡可能的提供輕便的方法不影響業務的速度。在規模較大的公司,隻有自上而下的方式才能推得動,如果你反其道行之,那我估計安全團隊多半在公司是沒有地位的,頂多也就是在微博或者技術博客上有些外在的影響力。往下攻略去影響程序員和SA/DBA的難度肯定比往上攻略去影響CXO/VPs的難度小,但如果一開始就選擇一條好走的路,實際對安全團隊來說是不負責任的,作為團隊領導你必須直麵困難,否則安全團隊就隻能做些補洞、打雜、救火隊長的事。
2. 戰術層麵
最後更新:2017-05-15 17:32:32