初创公司产品安全负责人的前100天实战经验

作者分享在Series E初创公司担任产品安全高级总监前100天的实战经验,涵盖安全团队建设、工具策略制定、风险评估及安全文化培养等核心技术管理内容,为安全领导者提供可落地的实践指导。

第一部分 | 在Series E初创公司产品安全岗位的前100天

作者: Joe Basirico
发布日期: 2021年8月2日
阅读时间: 8分钟

在应用安全咨询行业工作近二十年后,我终于将过去给客户的建议付诸实践。以下是我在前100天学到的经验教训。

我曾创建安全团队、漏洞赏金计划、制定工具策略和招聘计划等。原以为能立即产生影响,但直到第99天才真正有所作为——虽然早期已有一些成效,但我仍有很多需要学习的地方。在度过第100天后,我对成功产品和成功产品安全团队的要素有了更深理解。本文将详细介绍我从资深安全供应商转型为Highspot产品安全高级总监过程中经历的成功、挑战和失败。

Highspot致力于通过弥合战略与执行之间的差距来提升销售团队绩效。在我的职业生涯中,经常目睹工程团队与销售团队协作失败的情况。Highspot正专注于解决这些问题。

我们正在组建一支卓越的安全工程师团队,在构建和维护客户信任的同时实现这一承诺。我们正在招聘各级别安全工程师来执行这一愿景,如果您对安全充满热情,请立即申请!

本系列包含三篇文章。第一篇讨论了我如何发现Highspot、入职初期的经历,以及如何构建在Highspot高效工作的思维框架。加入任何新公司都充满挑战,而远程入职更是雪上加霜。第二篇文章将重点关注安全思维从阻碍工程团队转变为赋能工程团队的转变。我们希望通过培训、支持、工具、自动化等方式实现从关卡式管理到责任共担的转变。最后部分探讨了我过去的假设,以及如何进一步调整思维以适应Highspot文化。来自公司外部的既往假设既是资产也是负债,我必须从多个方面调整方法以实现最大效能。在那篇文章中,我还将讨论如何平衡即时安全需求与长期安全策略。

寻找Highspot

当我开始寻找新职位时,就开始了准备工作。在上一家公司,我有机会多年构建工程团队,因此建立了尊重、支持、成长和技术能力为核心的工程文化。我最大的担忧是离开熟悉的优秀团队进入文化未知的新环境。在面试多家公司后,我发现Highspot拥有吸引我的包容性和基于成长的价值观。在Highspot,我不需要费力说服同事重视安全——大家都会说:“太棒了!安全团队来了!让我们与他们合作,了解如何让客户更安全。”

为准备新角色,我温习了所有认为需要的技术技能:阅读书籍文章、观看视频、创建个人项目、阅读源代码、利用新发现漏洞测试系统。虽然这是我职业生涯中持续进行的旅程,但在面试新职位和入职Highspot后达到了新的高度。我坚信领导者应保持技术能力,在必要时能深入参与。失去技术触觉的管理者很难有效激励、指导或领导团队。虽然咨询工作让我紧跟软件、安全、风险和威胁的新兴趋势,但学无止境。

在Highspot的前几个月似乎都在尽可能多地吸收信息。咨询师的核心能力之一是快速掌握新技术,但我不想依赖这种能力。如果能在需要之前预先掌握这些知识会更好,因此我开始努力确定需要提前学习的内容。

我阅读并推荐给任何经历重大职业转型的人的书籍是Michael D. Watkins的《最初90天》。这本书帮助新角色领导者创建按周和月分解的成就路线图,关键启示是:让你在之前角色成功的因素不一定适用于新角色,甚至可能阻碍你!这对我很重要——作为顾问,我的立场和背景使我的意见和指导经常被征求;但在新角色中,这些知识虽有帮助,但我需要确保理解新同事的历史和决策,以便在该背景下支持和指导他们,而不是带着充满假设的路线图贸然介入。

让船只适航

作为Highspot首位产品安全高级总监,我们需要立即完成多项工作:招聘产品安全团队、应对当前风险、通过渗透测试和代码审查了解安全基线、改进工具和外部评估供应商、建立新安全培训等。

在招聘更多安全工程师之前(我提过我们在招聘各级别安全工程师吗?),我担任全职个人贡献者。我们团队负责PR代码审查、需求和规范评审、为工程团队设定安全目标等。这些日常活动至关重要,因为它们代表了降低组织真实存在风险的方法。如果我们错过架构审查,可能会引入新的漏洞,未来修复成本将很高。然而Highspot增长如此之快,我们很容易被涌入的请求淹没。如果一年内没有通过招聘比我更优秀的工程师来替代这些职责,那将是大问题。

我的策略专注于两件事:为每位工程师配备实时做出良好安全决策所需的安全意识和赋能;招聘能够随公司扩展并领导这些安全决策的安全专家团队。

维护一流船只

一旦通过培训和人员配备完善了船只,就是启航的时候了。Highspot的旅程不是短途旅行——公司已成立九年多,未来还将持续多年。理解这对高速增长公司轨迹的意义,对安全计划成功至关重要,就像对公司整体成功一样重要。

为维护船只,我们必须内置安全性、使安全变得简单,并实现自我修复。安全团队和我不能成为安全软件的门卫——拥有200多名工程师,我们永远无法执行每个需要的设计审查、代码审查或渗透测试;必须动员整个组织甚至外部力量:漏洞赏金、客户反馈和渗透测试。我们回应每个安全咨询,毕竟让互联网更安全需要更多人的共同努力。

总结

在新公司担任新职位充满挑战。我很幸运找到Highspot,并高兴地发现它符合我对优秀文化和有趣挑战的目标。在跳槽前确立目标——包括离职前要完成的事项和指导新组织前100天的目标——可以使过渡更轻松,并帮助在新角色早期建立有意义的成果。在Highspot的角色中,清楚有些活动需要立即完成,但我们也需要持续关注未来,建立最佳实践、文化流程,将安全注入每个角色。

在下一篇文章中,我将讨论如何通过从安全关卡转向让安全成为每个人的责任、选择赋能工具和自动化、选择优秀默认值、库和框架来取得更大成功。在后续文章中,我还将探讨如何验证自己过去的假设、学习Highspot的流程和价值观以提高效能,以及如何平衡即时需求与未来目标。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次