如何扩展应用安全计划 - 第二部分

在我的上一篇博客文章中,我写了什么是应用安全计划以及它为什么重要。在这篇文章中,我将介绍如何构建和扩展一个有效的应用安全计划。

我看到过许多初衷良好的计划未能实现其目标的方式。虽然失败的原因可能有很多,但成功的关键特征只有少数几个。

该计划必须:

  1. 与业务紧密结合
  2. 能够自我衡量
  3. 能够随时间改进

就是这样!成功计划的其他部分都取决于一组细节,只要你有这个框架,你就可以弄清楚并优化这些细节。如果你对这些细节感到好奇,请放心,我将在未来的文章中介绍。现在,让我们专注于这些关键的战略部分,因为如果你没有正确的战略,其他一切都无关紧要。

计划必须与业务紧密结合

安全计划必须证明所花费的资金是合理的。唯一的方法是直接将计划与支持它的一组业务目标联系起来。这些目标因业务而异,但它们通常以C级编写并由董事会同意的安全政策的形式出现。就其本质而言,这些业务目标将是非技术性的,足够抽象以至于需要工程团队进行一定程度的解释,并且通常是不可协商的。它们几乎总是侧重于立法合规性、全球公认的标准、客户要求或以上所有内容。

如果你不能将你的应用安全计划与一组企业业务目标紧密联系起来,你的计划就会失败。这是我与一个新客户交谈时首先问的问题之一,当他们不符合这个测试时,我认为它是一个僵尸计划。我仍然可以做一些事情来帮助他们,但在动态改变之前,应用安全计划将像行尸走肉一样。承认这一事实可能是改进的一个艰难但必要的第一步。

计划必须能够自我衡量

一个成功的安全计划必须能够自我衡量,并通过一组商定的、可以准确衡量并随时间改进的KPI或指标来展示价值。安全KPI可能很难制定,尤其是对于应用安全,但这并不使它们变得不那么关键。

第一步是与你的利益相关者讨论哪些KPI对他们重要。对你的高管管理层来说,可能是某种形式的对公司安全政策的衡量。换句话说,你是否达到了推动该计划的业务目标?如果没有,你能展示朝着该目标的进展吗?对你的工程团队来说,可能是一个更技术性的衡量标准,例如随时间发现和修复的漏洞数量、修复新发现漏洞所需的时间、团队成员在安全上花费的时间和金钱、外部报告的漏洞数量、实现的安全工程活动、渗透测试和代码审查覆盖率等。

一旦你建立了一组KPI,你需要确定哪些你现在可以合理地希望衡量,哪些需要等待未来,哪些可能永远无法实现。确定一个你无法使用的指标是可以的,因为它太昂贵或无法衡量。即使你无法正式衡量它,知道它重要也是有价值的。但对于那些你可以衡量的指标,尽快开始这样做。你拥有的数据越多,识别趋势的时间越长,效果就越好。你错过的每一天都是你现在永远失去的可以用来改进计划的数据。这里需要提醒一句。你选择包含在KPI中的每一个指标都会有自己的生命。一旦你有了一个指标,团队就会有动力推动其改进。考虑副作用和意外后果。一旦一个指标被建立,就很难删除,所以要认真对待每一个指标的添加。

计划必须能够随时间改进

一旦你建立并开始跟踪你的KPI,改进可能看起来如此明显以至于不需要提及,在某种程度上,这是真的。工程团队喜欢优化,一旦你给他们数字来驱动,他们几乎总是会开始这样做。然而,有一些例外值得指出。每一个例外都代表了你需要克服的障碍,然后你的计划才能成功。

我在上一节中提到你应该获得利益相关者的同意,但我认为值得进一步探讨这一点。我暗示你需要高管管理层对高管级KPI的同意和工程团队对工程KPI的同意,但事实并非如此。你需要获得工程团队对高管KPI和工程KPI的同意。由于高管KPI与可能是不可协商的业务目标相关,这可能看起来很困难。一个常见的错误是高管KPI不与工程团队讨论,只是作为一项法令从高层推出(你必须)。有些人做出的错误假设是,由于业务目标是不可协商的,相关的KPI不值得讨论。这与事实相去甚远。一个工程团队不会完全承诺一个它不理解的目标。如果业务目标是真实的,并且KPI与之相关,那么这是一个值得进行的讨论。一旦工程团队理解了这些KPI,他们就会同意它们。一旦他们同意了,他们就会致力于优化它们。另一方面,如果他们不理解并且不同意,你可能会得到点头,但你不会得到完全的承诺。相反,你会看到“打勾”行为,即投入最少的努力。当一个客户来找我,他们列出工程团队行为作为一个问题时,我通常会发现一个认同问题。获得工程团队的认同不一定是困难的,但必须做到。

另一个常见的错误是获得推动KPI的同意,但未能为团队提供成功的条件。给一个已经满负荷的团队增加更多的工作并期望他们实现目标是不够的。如果你正在推动新的KPI以实现一个成功的应用安全计划,你需要充分资助它。充分资助意味着你需要提供足够的工作周期来完成它,你需要购买必要的工具来提高效率,并且你需要提供培训以确保团队知道如何完成工作。

请注意,这是我第一次提到工具。不要犯在定义应用安全计划之前购买工具的错误。工具为已经到位的计划增加效率。它们不能也不会为你提供计划定义。任何告诉你相反的人都是在试图向你推销东西。

——

一旦你采取了这些重要步骤,你就走上了成功计划的道路。你已经定义了一组良好的要求,你已经商定了如何衡量成功,并且你已经为团队设置了条件,使他们能够随时间迭代和改进。一旦你把这个良性循环付诸实施,你几乎可以保证成功的结果。你将从一个不成熟的计划开始,但随着时间的推移,你将实现完全成熟,并成为其他人可以仰望并希望效仿的安全最佳实践的例子。现在开始工作吧!
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码

posted @ 2025-08-06 10:56  qife  阅读(4)  评论(0)    收藏  举报