安全架构师工作方法论——安全架构师的政治工作 – 作者:钱塘山人2020

上接 IoT安全架构师

对于任何系统都有一定的安全要求,但是系统本身是为业务服务的,而不是直接为安全服务的,安全架构师经常需要做的事情就是和业务架构师做博弈游戏。有人的地方就有江湖,更进一步说有利益冲突的地方就有江湖博弈。在企业中所有的角色整体上是为企业的使命和愿景努力的,但是在具体的工作实施中,不同的角色负责系统的不同模块,自然而然就会有冲突,安全与易用性和成本就有其中的一类冲突。

4.1 安全架构师要正视企业中的政治

这里的政治问题是企业里面的政治问题(不是狭义的办公室政治)。首先我们引入政治的定义:

政治(Politics)是指政府、政党等治理国家的行为。政治是以经济为基础的上层建筑,是经济的集中表现,是以国家权力为核心展开的各种社会活动和社会关系的总和。政治是牵动社会全体成员的利益并支配其行为的社会力量[1]

类比着定义企业的政治定义就是:

企业政治是指企业内部治理企业的的行为。政治是以经济为基础的上层建筑,是经济的集中表现,是以企业权力为核心展开的各种商业活动和内外部关系的总和。政治是牵动企业全体成员的利益并支配其行为的集体力量。

从定义可以看出,不论是否愿意,企业内部以及和企业有关系的外部组织都会受到企业政治的影响。也许你会想一直都是这样啊,为什么到安全架构师这边要强调一下。原因有二,其一:不能影响的因素只能作为环境来看待,企业的政治对大多数人来说是环境,但是安全架构师可以在一定成熟度上需要顺应(或者说利用)甚至是影响到企业的政治,也就是说安全架构师也是企业政治环境建设的一份子;其二:安全尤其是系统架构设计中的安全通常是一个功能满足之后的附加卖点,而不是客户之间采购的对象,这就导致了安全架构师的作品在通常情况下是没有客户明确埋单的,但是公司从自己的过往和其他公司的案例了解到系统设计的时候一定需要安全架构的视角,这就导致了安全架构师通常情况下的盟友是非常少的,即使是公司的老板也会在成本的压力下,对安全的投入打折或者选择赌博,推迟或者取消安全的投入。

综上所述,安全架构师的提案犹如国防预算的提案与国家经济建设提案的冲突,这时候作为安全架构师一定不能有“公司是老板的,老板都不支持我何必操心呢!”而是要有自己的专业性和职业道德和荣誉感,不能为了通过提案而夸大安全风险也不能为了规避冲突而放弃安全架构师的原则和本应发挥的专业价值。要正视安全架构师乃至安全团队在企业中的特殊政治位置,正确使用政治的工作方式,尽到专业价值。关于政治获得入门推荐书籍《硬球:政治是这样玩的》[美] 克里斯·马修斯。

4.2 安全架构师的两个重要谈判筹码

政治活动最重要是整体的政治环境以及参与者的手中的政治筹码,在企业里政治筹码指的就是自己的价值。那么就安全架构而言,有两个重要的价值,分别如下。

4.2.1 抵御攻击和破坏

第一个价值是大家最容易想到的就是抵御攻击和破坏。正式因为这个价值被大家熟知,而让大家习以为常,进而逐渐麻木,毕竟极端的攻击和破坏是小概率事件,时间久了大家也就懈怠了。对于这个价值在持续受到攻击的行业反而容易被企业重视,如军事相关领域,那企业里面如何使用这一价值呢?

没有高级的攻击者,不见的自己的系统就能抵御得住高级的攻击,作为安全架构师可以自己建立以抵御攻击者能力的安全能力成熟度建设模型,通过让公司选择成熟的方式来推进安全建设的工作。这里我使用了选择成熟度而不是持续提高成熟度,因为成熟度背后对应的是真金白银的投入而不是老板表面上的表态。这里我介绍一个由我自己定义的成熟度模型:

1608547257_5fe07bb9c7b71f1021cb8.png!small?1608547255311

4.2.2 降低安全相关问题导致成本

事实上在企业中的所有角色都在创造效益,如果提供花钱的能力,这个角色肯定会被淘汰掉。上述的抵御攻击和破坏其实也在创造效益,这部分效益来与之如果破坏发生和与抵御所花费的投入之间的差值。安全架构师除了这种创造效益的方式,还有一种是价值是发挥在产品和服务的全生命周期中,这中价值无法从一个单点上看出来,而必须从整体上分析。产品设计和生产过程中的安全投入,可以降低售后的相关成本。这种价值的发现需要看到企业的全貌才可以,同时这是安全架构师容易争取到盟友的价值和表示方式,通常售后会成为你的盟友。

抵御攻击和破坏你的盟友是攻击者(虽然不是主观上想要的),降低售后成本你的盟友是售后体系相关的角色,但是售后在企业的话语权通常不会比市场和售前强,这个时候你也可以将公司财务发展为盟友,财务在公司的话语权比售后和安全架构师的和都要高,掌握了这个系统性的关系,并且发展处自己的联盟你就掌握了安全架构的政治核心。

最后补充一点,公司法务与合规的要求很多需要安全架构师来实现,他们也可以发展为盟友关系,这也很重要。

4.3 企业中的官僚体系

“官僚体系”不是一个贬义词,只是一个中性词,是代指一个公司的组织方式。企业里面从大的层面分为如下三层:

分层的名称

核心的工作价值输出

思维模型

决策层

做正确的事(经济学上的最优)

决策需要的闭环

管理层

把事情做正确(管理学上的最有效)

博弈论

执行层

{舒适区,学习区,恐慌区},激励

下接:5-安全架构师的选拔与养成

来源:freebuf.com 2020-12-21 18:43:41 by: 钱塘山人2020

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论