在E轮初创公司担任产品安全负责人的前100天经验分享

本文分享了作者在Highspot担任高级产品安全总监前100天的实战经验,包括安全团队组建、风险评估、工具策略制定以及如何将安全思维从阻碍转变为赋能工程团队的具体实践方法。

第一部分 - 我在E轮初创公司产品安全岗位的前100天

作者:Joe Basirico
发布日期:2021年8月2日
阅读时间:8分钟

在应用安全咨询行业工作近二十年后,帮助客户解决最棘手的挑战后,是时候将我过去告诉别人的建议付诸实践了。这些是我在前100天学到的经验教训。

我创建过安全团队、漏洞赏金项目,制定过工具策略、招聘计划等等。我以为我能够立即投入工作,在第一天或至少第99天产生影响,虽然早期确实产生了一些影响,但我还有很多需要学习的地方。当我度过第100天时,我对成功产品和成功产品安全团队的要素有了更深的了解。在本文中,我将带您了解我从资深安全供应商转变为Highspot高级产品安全总监过程中面临的成功、挑战和失败。

Highspot开发的产品通过弥合战略与执行之间的差距来提高销售团队的绩效。在我的职业生涯中,我见过工程和销售团队未能协作的情况。我见过销售团队成员因为组织无法有效支持而失败。Highspot专注于解决这些问题。

我们正在组建一支卓越的安全工程师团队,以帮助实现这一承诺,同时与客户建立和维护信任。我们正在招聘各级安全工程师来执行这一愿景,如果您对安全充满热情,请申请!

本系列包括三篇文章。第一篇讨论了我如何发现Highspot、我的最初几天以及如何构建我的思维以在Highspot高效工作。加入任何新公司都具有挑战性,但远程加入会带来额外的挑战。我的第二篇文章重点关注安全思维从阻碍工程团队转变为赋能的转变。我们希望通过培训、支持、工具、自动化等从关卡转变为责任。最后一部分探讨了我过去的假设以及如何进一步转变思维以了解Highspot文化。来自公司外部的过去假设可能既是资产也是负债。我必须在多个方面改变我的方法以达到最大效果。在那篇文章中,我还讨论了如何平衡即时安全需求与长期安全策略。希望您能享受我在Highspot前100天的旅程,并在此过程中学到一些东西。

Rudy Issa on Unsplash

发现Highspot

当我开始寻找新角色时,我开始做准备。在我之前的公司,我有机会在多年时间里构建工程团队。因此,我能够建立一种尊重、支持、成长和技术能力的工程文化。我最大的担忧是离开一支我认识的最优秀的工程师团队,进入一个文化未知的环境。我面试了几家公司,发现Highspot拥有一套包容、基于成长的价值观,这吸引了我。我不喜欢必须赢得同事的心和思想来说服他们安全的重要性。但在Highspot情况并非如此,我经常听到“这太棒了!安全团队来了!让我们与他们合作,了解如何让我们的客户更安全。”

为了准备新角色,我复习了所有我认为需要的技术技能。我阅读书籍和文章,观看视频,创建个人项目,阅读源代码,并利用新发现的漏洞利用系统。这是我职业生涯中一直在进行的旅程,但当我开始面试新角色时,它达到了高潮,并在我被聘用并进入Highspot角色后继续。我坚信领导者应保持技术性,并在必要时能够深入钻研。失去技术触觉的经理很少能有效或高效地激励、指导或领导。虽然咨询世界帮助我紧跟软件、安全、风险和威胁的许多新兴趋势,但总有更多需要学习的地方。

在Highspot的头几个月似乎围绕着尽可能多地将信息输入我的大脑。顾问的超能力之一是快速掌握新技术的能力。虽然这是一项重要的技能,但我不想依赖它。如果我能提前加载这些知识,那将是最好的。所以我开始努力确定我需要掌握什么,在我需要知道之前。

我读过的一本书,并推荐给任何重大职业转型的人,是Michael D. Watkins的《前90天》。最初出版于2003年,但最近更新,这本书帮助转型到新角色的领导者创建按周和月分解的成就路线图。书中的一个关键要点是,使您在以前角色中成功的因素不一定使您在新角色中成功。事实上,它可能会阻碍您!这对我来说是一个关键要点。作为顾问,我经常因为我的职位和背景而被询问我的意见或指导。在我的新角色中,这些知识是有帮助的,但我需要确保我理解新同事的历史和决策,以在该背景下支持和指导他们,而不是带着充满假设的路线图贸然进入。

在Highspot,我们正在创建一个被全球数百万人使用的产品。我们被称为西雅图最新的独角兽,拥有惊人的增长、客户需求和功能请求。该产品实现了一个愿景,使销售和营销团队能够为客户提供价值,而不通过收集他们的隐私来盈利。通过合理的安全和隐私决策与客户及客户的客户建立信任是Highspot的基石。

我认为我的安全角色有两个部分:

  1. 让船和船员准备好航行通过 rough waters - 满足即时需求
  2. 在我们横渡大西洋时维护一流的船 - 维护未来安全的产品

让船适航

作为Highspot的第一位高级产品安全总监,我们需要立即做几件事。招聘产品安全团队,应对当前风险,通过渗透测试和代码审查了解我们的安全基线,改进我们的工具和外部评估供应商,并构建新的安全培训是其中的一些目标。

在我们招聘更多安全工程师之前(我提到过我们正在招聘各级安全工程师吗?),我担任全职个人贡献者。我们的团队对PR进行代码审查,审查需求和规范,为工程团队设定安全目标等等。这些日常活动现在至关重要,因为它们代表了减轻组织真实和当前风险的方法。如果我们错过架构审查,可能会引入新的漏洞,未来修复成本高昂。然而,Highspot增长如此之快,我们可能很快被涌入的请求淹没。如果我在一年内没有通过招聘比我更好的安全工程师来替换这些职责,那将出了严重问题。

我们将在这些文章中更深入地探讨这一阶段,但我的策略专注于这两件事:武装Highspot的每位工程师,使他们具备实时做出良好安全决策的安全意识和赋能,并招聘一支能够与公司规模扩展并领导这些安全决策的安全专家团队。

Michael Blum on Unsplash

维护我们的一流船

一旦我们为船配备了培训和船员,就是时候出海了。Highspot的旅程不是短暂的。Highspot已经存在超过九年,并将继续存在多年。理解这对这家超增长公司轨迹的意义对安全计划的成功至关重要,就像对整个公司的成功一样。

为了维护我们的船,我们必须内置安全,使安全变得容易,并找出如何自我修复。安全团队和我不能是安全软件的门户。拥有超过200名工程师,我们的安全团队永远无法执行每个需要的设计审查、代码审查或渗透测试;我们必须征募整个组织甚至外部的帮助:漏洞赏金、客户反馈和渗透测试。我们回应每一个安全询问,毕竟,让互联网更安全不仅仅依靠我们的安全团队。

在撰写用户体验时,Jeff Atwood写了一篇很棒的文章,关于使您的UI/UX如此出色,以至于用户会“落入成功之坑”,换句话说,他们不得不做正确的事。我想让在Highspot的所有工程师构建安全产品变得那么容易。

再次,我们将在系列后期探讨维护一流船所需的条件,但这包括:伟大的安全文化、集成安全工具、卓越的安全合作伙伴关系以及为新老员工提供的长期安全培训。

总结

在新公司担任新职位可能充满挑战。我很幸运找到了Highspot,并高兴地发现它符合我对伟大文化和有趣挑战的目标。在跳槽之前确立目标,包括在离职前要完成的任务和指导新组织前100天的目标,可以使转型更容易,并有助于在新角色早期建立有意义的成果。在Highspot的角色中,很明显有需要立即完成的活动,但我们也需要继续关注未来,建立最佳实践、文化和流程,将安全注入每个角色。

在下一篇文章中,我将讨论如何通过从安全关卡转变为让安全成为每个人的责任;通过选择赋能工具和自动化;通过选择优秀的默认值、库和框架来更成功。在接下来的文章中,我还将探讨如何审查我自己过去的假设,学习Highspot的流程和价值观以更有效,以及如何平衡即时需求与未来目标。

请订阅我们的新闻通讯。每月我们会发送一份新闻通讯,包含新闻摘要和我们最近几篇文章的链接。不要错过!

另请参阅

  • 应用安全工程的第一阶段:意识
  • 应用安全工程的三个阶段
  • 构建500人安全团队
  • 如何扩展应用安全计划 - 第二部分
  • 如何扩展应用安全计划 - 第一部分

分享与讨论

  • 在HackerNews上讨论
  • 在Twitter上分享

归档 under
领导力、安全团队、职业生涯、应用安全工程

Joe Basirico & Jason Taylor © 2023

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次