嘴替发言:做安全的最讨厌什么部门?

资讯 1个月前 admin
24 0 0

嘴替发言:做安全的最讨厌什么部门?


嘴替发言:做安全的最讨厌什么部门?

“安全要懂得政策驱动……”

“安全要学会三分技术、七分管理……”

“安全要守护好公司的资产和底线……”

“安全要围绕业务……”

“安全要学会汇报……”

“安全要会讲故事……”

“安全要提高沟通效率……”

“安全要配合其他部门……”


……


还有啥要求?端茶倒水要学不?擦桌子扫地要学不?是不是还要学会替老总倒尿盆,给秘书奶孩子?试问,有哪个行业、哪个部门,会一直像网络安全行业这样,反复强调“人员缺口”和“人员倦怠问题”的?合着就安全行业需要支持社会主义建设呗?就安全部门最应该保家卫国?


以往,无论是线下研讨会、交流会,还是线上直播,几乎所有业内人士都只会自我反省,看看那些个论坛标题:“安全人员该如何向上管理”、“安全人员该如何销售自己”、“安全人员该怎么和其他部门交朋友”……干啥呀?“没有网络安全就没有国家安全”,这话是只说给安全人员听的呗?“数据已成为了第五要素,数据安全是数据时代最重要的保障”,这信息只要安全人员知道就行了咯?


01
最蠢不过研发


没事时安全是成本中心,有事了,安全就是“投入了还出事”,有这口才和辩论水准,怎么不见谁去和公安局说道两句纳税问题的呢?还啥“和其他部门交朋友”,岂不知“安全和他们心连心,他们和安全玩脑筋”?有安全专家就说了,最蠢不过研发,“说了他们又不听,听又不懂,懂又不做,做又做错,错又不认,认又不改,改又不服,不服也不说,那叫我们安全怎么办?”

嘴替发言:做安全的最讨厌什么部门?

从现实来看,IT部门是基础架构漏洞修复的责任部门,研发部门是应用漏洞修复的责任部门,两个部门漏洞的修复都需要对方部门的配合,而相关配合的协调往往需要安全团队来主持,此时,两个部门都怕漏洞的修复会影响生产,原生动力不足,又怕背锅,因此他们往往都会甩给安全团队一句话:“出了问题谁负责?我们担不起这个责任。这样很难办的。”

“难办?那就别办了!”

嘴替发言:做安全的最讨厌什么部门?

今天,不是安全要掀桌子,实在是大环境所逼,让人不得不一吐为快。“研发或其他部门也没有欠我们什么,我们从来不会逼朋友去做不想做的事,安全有自己的原则,我们不想一辈子被人踩在脚下,公司以为我们是臭要饭的?我们安全等了那么多年,就是要等一个机会,我们要争一口气,不是想证明安全有多了不起,而是要告诉大家,安全失去的东西一定要拿回来!”

嘴替发言:做安全的最讨厌什么部门?

安全失去了什么?尊严、地位,还有心爱的……不不不,就是尊严和地位。有安全专家说了,解决矛盾的办法其实很简单,就是提高安全团队在公司里的地位,只要安全得到管理层的支持,就能成为“话事人”,就能将安全最佳实践落地。而最忌讳的就是将安全团队放在IT团队或研发团队中,这样安全很难做出成绩,出了问题,安全还是会成为背锅侠。

“当然,‘干爹们’若实在不愿支持我们,安全团队就只能通过‘三令五申’反复强调、督促研发及IT团队进行整改,并留下工作痕迹,比如往来邮件,一旦真的因相关漏洞未修复而造成损失,就需要追责。此时安全团队自己也已‘尽职’,责任会落在两个团队。这是安全团队地位不高时的上上策。”

嘴替发言:做安全的最讨厌什么部门?



02
“不要错把仁慈当做弱小”“开打开打”


除了“为赶项目而忽略安全风险,导致安全漏洞和数据泄露等问题”的研发部门,其他部门也请出列,今天“我们既分高下,也决生死”。

某安全负责人表示:“营销部门其实蛮烦的。”营销部门通常会大量外发、接收电子邮件,同时也会大量使用社交媒体等渠道进行推广,而这些渠道可能存在安全风险,也是病毒、勒索软件、钓鱼攻击的最佳对象。“为了追求效果而忽略安全问题,导致大量的垃圾邮件和诈骗信息,如果真的影响到了用户们的信息安全,你们该当何罪?来人呐,拖出去……”

也就安全部门总是能为营销团队及时救火,他们也是对安全需求最为频繁的部门,什么市场数据、敏感数据、用户数据,大数据分析等,哪一项能离开安全?没有安全部门,怎么做安全评估和安全风险策略调整?可为什么干营销的还总是对安全指手画脚?嫌这实施影响进度,嫌那落地耽误推进,忘了是谁在你们背后尽心尽力了吗?

还有人力资源部,管理员工信息,比如身份证号码、家庭住址、电话号码等敏感信息时,能不能长点心?不落地必要的安全措施,导致员工信息泄露和滥用,你们担得起这份责任吗?

“不要老是为了自己的利益而忽视信息安全!你们的做法可能会对公司的声誉和用户数据造成严重威胁!法律责任谁来承担?董事长吗??换做你是董事长,你敢如此吗??还有,不要老是等出了问题了,才想到找我们安全部门,提前沟通不会吗?让大家都来了解相关政策和最佳实践不好吗?这难道不是一种负责任的做法吗?”


03
天子犯法,与庶民同罪


老话说得好:有错就要认,挨打要立正

嘴替发言:做安全的最讨厌什么部门?


说到底,其他部门之所以敢“在安全头上拉屎,又问安全借纸”,是谁在不作为?答案显而易见:领导。安全若没有领导层的支持,若没有老板的支持,要怎么实施下去?“对你老板来说,安全部门在保护谁的资产啦?不是你的资产啊?你自己都不重视,谁又乐意为你忙碌啊?”

所以对安全部门来说,讨厌的最终目标无非就是领导:“就是这群人,整天坐山观虎斗,还美其名曰‘纵横捭阖,相互制衡’,其实就是不学无术,只喜欢在自己的世界里YY些宫斗和权衡。连削减个安全预算也要摆出一副老谋深算、足智多谋的样子,怎一个‘装’字了得。”


04
结语


可惜,“互联网嘴替”的工作已近尾声,笔者却还意犹未尽。当然,大家也可尽情期待,因为我们始终只服务于安全行业、安全领域和安全人员,所以无论其他行业和组织怎么看待我们,我们也永远只站在安全这一边。所以,让我们尽情开骂……不是,让我们共建和谐社会,开创更美好的未来吧。



往期精彩回顾



一文读懂 | AI Agent安全智能体如何引领智能化安全服务新范式



END



嘴替发言:做安全的最讨厌什么部门?
嘴替发言:做安全的最讨厌什么部门?



嘴替发言:做安全的最讨厌什么部门?

点【在看】的人最好看

嘴替发言:做安全的最讨厌什么部门?

原文始发于微信公众号(安在):嘴替发言:做安全的最讨厌什么部门?

版权声明:admin 发表于 2024年1月29日 下午6:38。
转载请注明:嘴替发言:做安全的最讨厌什么部门? | CTF导航

相关文章