Michael Graham至今都记得那个开启了他职业生涯的副职。作为一家大型运输公司的分析员,他为公司安装了一系列开源的网络侵入检测设备——当时这项技术还是很新鲜的——随后又重新设计了这些设备的下层操作系统,好让它们能正常运转。
Michael Graham的本意是利用这些设备来捕捉网络流量,进而对网络问题有更清晰的针对方案。然而两周后,臭名昭著的蠕虫病毒Code Red找上门来了,整个公司的网络几乎全面崩溃。而当公司开始着手控制这一问题时,Michael Graham决意深入挖掘其项目的早期登录系统。之后,他发现,楼下承包商的笔记本电脑是最先被感染的。
如果这个副项目是Graham的全职工作,那么现在的情况是不是就会不一样了?他或许能让公司免去这样的头疼,省下大笔资金。也就是在那时,Graham认识到,安全问题从来就不是边角问题,它是公司关键的职能所在。能否快速地定位、回应安全风险决定了一个公司能否高效运转。
在过去的15年间,Graham曾先后就任 Harrah's Entertainment,Zynga,Evernote 和Box的高级安全构架师。此外,他还曾为各个平台,各个领域的公司——从初创企业到世界500强,从公立教育机构到产品制造商,提供过安全服务。
在本文中,Graham为我们分析了早期初创企业应当如何兼顾安全问题,主要内容包括应当何时聘请第一批安全工程师。此外,Graham还就大型公司对安全问题的态度以及安全问题在10年内的趋势走向谈了谈自己的看法。
创企应当以什么样的姿态面对安全开销
许多资源不足的创企往往会根据公司的财务用度来对自己面临的安全风险进行评级,但Graham建议,可以根据公司潜在的曝光风险来进行安全评级。
“所有公司都有一个亏钱的底线,因此,如果你花的钱比底线还要多,那你肯定是在玩火自焚。”Graham说。
Graham承认,自己所说的这些与许多市场营销手段都有相悖之处。大多数创企给客户带来的风险远比他们宣传的多。
“如今,大量社会资本都被用在了市场营销方面,创企们向客户承诺‘请你相信我们会保护好你的数据隐私’,但如果你的公司员工数在10名以下,那你基本就是在瞎掰,因为你根本不可能做到这一点。创企要做的事太多了,因而他们从来不把安全问题置于首位。”
然而安全管控并不是要求创企将风险完全降到零,而是要不断适应环境,平衡风险。
下面,Graham根据员工数量的不同,向我们介绍了创企在安全问题上的演变模式:
1-9名员工。“在这个阶段,你要避免采取多余的安全措施,防止被安全措施拖累,导致公司停滞不前。你可以采用二元认证的方法。不要把服务器放在网上,那样会让你的信息全部暴露在外;相反,你可以把服务器放在某个人的云端。”
10-19名员工。“在员工数成倍增长的这个阶段,你要开始细化责任。对你来说,大家共担职责的时期已经过去,但仍然还处在5分钟决策的时候。此时,你得让一个人专门负责安全问题。我的意思是,这个人可以不是全职负责安全,但安全问题必须在他的权限范围以内。”
20-49名员工。“如果你在上两个阶段中存活了下来,那么现在就是你利用产品与客户建立关系的时候了,这也意味着你成了客户信任的伙伴,虽然你自己可能还没意识到这一点。客户给你提供了某种等级的信息,甚至是他们的客户信息,这时你要面对的潜在威胁就不只是你自己的了,更是那些意图针对你的客户的。更重要的是,如果你手上掌握的数据让外人觉得有利可图,那你可能会遇到的安全风险就更大了。我建议这个阶段的创企最好聘请几位会编程的工程师。”
50名及以上的员工。“当你的员工数增加至50人时,一定会有商业顾问、联合创始人或投资人对你未来一年的走向颇为看好,他们认为如果一切顺利的话,你会很快将团队人数扩大到100人。这时,你就要聘请你的第一批,也是全职安全人员了。”
我的总结是,在你的团队人数达到30-100人时,聘请你的第一批全职安全人员。
Graham表示,创企们往往对安全人员有所偏见。
“我当然会建议创企在拥有30-100人之间的时候雇用安全人员,因此这阶段正是创企高速成长的时候;然而,早期创企创始人常常会觉得安全只是技术性问题,这种想法简直天真得可怕。”
无可否认,30人和100人的公司之间确实存在巨大的差别,应当何时聘请第一批安全人员,这种问题总是在公司进一步发展,回过头来看的时候才更加清晰。
Graham之所以要列出这样一个安全人员聘用时间表,是因为很多公司已经成了真正的大公司,却连安全问题的基础都没有打好。
Graham说:“如果你在安全问题上一拖再拖,那么你最终一定会后悔。”
此外,摒弃对安全问题的偏见也是避免消极后果的一个重要因素。工程师们总是会试图将结果最优化,你可能会发现,两个同样能处理安全问题的工程师,由于工作动力不同,最终建立起来的安全系统也会完全不同。
如何在创企内部摆正安全问题的位置
很多创企面对安全问题往往会摆出一副“老大哥”的样子,公司内部的安全人员也常常会觉得自己就像是所有员工的保姆一样。
在一代又一代的创企当中,安全问题不外乎就是管理好防火墙,执行好安全策略。听起来好像专业性很强,实际上就是监控员工的工作行为,监控员工浏览互联网的方式,下载了什么东西等等。
“安全问题目前还没能走出传统的思维模式。员工们往往会认为安全就是一种隔绝,是给办公带来复杂性,又开销甚大的问题。这些话有点道理,但也不全对,”Graham说,“员工们觉得,负责安全问题的人就是一群坐在办公室扮演‘老大哥’角色的人,我不知道是否有安全团队的人也会如此评价自己,但这种想法显然已经过时了。”
以下5种方式能够帮助安全团队将其身份从“老大哥”或保姆转变为安全顾问。
训练员工在进行信任决策时三思后行
创企们在培养特定的用户行为时总是想尽了办法,同样,在面对安全问题时,创企也可以采取相同的措施。“如果你能教会员工在进行安全决策时三思而后行,那么你就能避免2/3的安全问题。”Graham说。
如果培养三思后行的习惯,以下6个问题可以作为训练之法:
1.我是否在期待这封邮件或这个电话?
2.我如何确认这个人要我做的事?或如何确认这个人确实是某身份?
3.如果我打算向某人透露一些敏感信息,我是否能确定他有权知道?
4.某人在我的产品基础上将做些什么,我自己有哪些推断?
5.如果我负责管理公司机密、身份认证和会议,那我是否向他人寻求过建议?
6.如果我做的这个决定是错误的,那我们如何才能发现?
当然,即使有这些问题的帮助,也不意味着你就可以用它们来取代安全团队。
停止责备
如何让员工更积极地面对安全威胁,第一步就是减少对员工的责备。
“人们不与你互动,那是因为害怕被斥责,害怕听到他们不想听到的东西。这个现象不仅仅出现在安全方面,公司的任何角落都会有这个问题,比如人力资源和法律顾问等等,”Graham说,“而当员工对交流产生压力感时,你们之间的关系就病态了,也可以说你们之间的交流会付出较高的代价。因此我的结论是:不要责备员工,不要让员工感到难为情。羞耻感并不能提升员工的工作表现,只会让你怕什么来什么。”
奖励安全隐患的发现者
许多公司都有一套系统,用以奖励或惩罚员工的业绩表现——安全领域亦当如此。
“不管是细微的邮件隐患,还是威胁整个公司的安全问题,凡是发现这些安全隐患的员工都应当受到奖励。对有功员工脱帽致敬——不论是公开的还是私下的,这种行为都能折射出你们公司的企业文化。”
管他什么安全教育,邮件才是最要紧的
有些公司会通过安全小手册,安全大讲堂等教育方式来培养员工的安全意识,但Graham却对此不以为然。
“我从没见过什么安全教育能真正起效的,创企们需要的,是一个开放、舒适的渠道,因此最有效的安全教育方式应当是邮件。你要做到让公司的所有员工都重视起安全来,在这一点上,发邮件比什么法子都管用。如果在邮件上再加上‘谢谢’两字的话,效果会更好。”
找到安全团队的存在感
员工的优势就在于,大多数安全隐患,无论是恶意黑客还是病毒感染源,员工们一开始都是不知道的。也正因为此,安全团队才必须找到自己的存在感。
“找到存在感,找到认同感,这是安全团队管理不可或缺的职责所在。许多人之所以会加入安全团队,是因为他们找到了比人更有趣的问题,我不是说他们孤僻不爱与人打交道,只是他们对技术深深着迷。”Graham说。
安全人员可以与其他员工有一定的社交距离,但安全管理团队不行。
“尤其是当创企的员工数量急速上升时,安全管理团队更要找到自己的存在感。如果让公司员工排成一排,有多少人会知道谁是安全人员?安全人员必须在大家面前混个脸熟。”Graham说,“否则你何时才能摆脱‘老大哥’或员工保姆的形象?”
安全管理的未来
在安全行业混迹近20年后,Graham对这一行的历史可谓手到擒来。但谈到安全行业的未来时,Graham表示,他看到安全行业正在汲取其他行业的精华,一步一步向成熟发展。
“在过去的几年间,安全行业开始从数据、保险行业借力。从前人们总说:‘你怎么能预测黑客要做什么’,这种想法如今已经是错的了,”Graham说,“诚然,我无法预知一个黑客未来的行为,但我们完全可以追踪整个黑客团体的踪迹,预测他们会出哪套拳,耍哪个花式。”
Graham拿绑架保险来打了个比方。“每一起绑架案都有其独特之处,但我可以确保的一点就是,我能拿到保险赔偿。这话的意思就是,保险行业已经意识到了他们行业背后的运作机制以及经济原理。现在,保险从业人员会将客户按不同等级分类,这样他们才能确保自己的保险政策有钱可赚。”
从创企创始人的角度来看,他不仅要忙着招聘工程师,还要进行产品市场配对,思考盈利方式,在这种情况下,忽略公司的安全问题也是情理之中。
也正是出于这个原因,Graham才决定列出上述分析与建议,帮助创企以最简单的方式避免公司蒙受安全损失。
“保护人和财产安全是一项相当古老的业务了,但是,当技术发展到现在,人们越来越关注知识产权时,一切就不一样了。我们正尽自己的努力,用数据来支撑安全管控方式,我想,这也会是安全行业的未来走向吧。当然,在安全行业发展到下一阶段之前,如果你不清楚要采取哪种措施来防范安全威胁,那就听我一句,给安全团队发邮件吧。”