不再令人翻白眼

传统上，组织的安全部门往往扮演阻碍者而非赋能者的角色，实施冗长的流程和控制，要求其他团队 navigating 复杂的审批系统。当有人提到“安全”一词时，这常常导致不可避免的叹息和翻白眼。时代已经改变——我们现在处于一个敏捷性至关重要的环境中，最轻微的官僚主义都可能显著阻碍创新和效率。员工明白这一点，为了避免面对繁文缛节，他们可能会寻找变通办法，最终破坏安全的整个初衷。

关注更快、更高效地交付客户价值

因此，绝大多数组织采用了频繁的代码发布到生产环境，SaaS 公司领先，至少每周推送新版本。安全在哪里？如果没有适当集成，组织要么无法以所需的速度前进，要么不得不牺牲其安全态势。

转变叙事

为了转变叙事，安全团队必须承担赋能者而非守门员的角色。但这到底意味着什么？

现实是，每个组织都有其自己的安全工作流程和标准，用于定义在其业务背景下什么是可接受的风险。并非所有问题都是直接漏洞。许多安全团队的挑战是如何确保每个团队都遵守这些内部政策。这是一项艰巨的任务，尤其是当组织的攻击面变得更大、更复杂时。

安全在行动

让我们设想一个现实场景，其中组织的安全团队充当赋能者而非守门员：组织中的团队不断添加新资产和技术，而安全团队却不知情。尽管如此，安全团队仍然负责确保这些资产的安全。

这种缺乏可见性的情况会导致许多内部政策违规，可能数月甚至数年未被察觉。然而，今天，这些团队可以选择主动监控其攻击面，并设置自己的自定义策略，以便在资产不符合要求时立即收到警报。

在一个安全专注于主动监控而非要求每个行动都预先批准的世界中，组织可以实时监控潜在风险，而不会中断工作流程。安全成为一种支持运营效率的保护力量。

共同负责安全

话虽如此，我们知道安全团队应该充当赋能者。但这并不是终点。这种心态应该扩展到整个组织。每个人都应该采用安全优先的方法。当安全团队努力支持而非阻碍进展，当开发人员和其他团队被授权从一开始就安全地构建时，组织可以在保持安全的同时以必要的速度运作。

安全不应是事后才考虑的事情，而应是开发周期的核心组成部分。通过将良好实践嵌入开发人员的日常工作中，组织可以创建无缝流程，保护资产而不造成中断。

回报

安全作为赋能者的方法允许更快、更安全的操作，并为组织提供额外的业务价值，包括增加客户信任、提升品牌声誉、持续的业务运营以及更轻松地应对当前的合规环境。

专家观点

为了更清楚地了解组织如何演变为安全作为赋能者的概念，我们有机会咨询 Dennis Adolfi——Knowit Experience 的技术负责人，这是一家全球 IT 机构，帮助组织成功实现数字化转型努力。

您对作为赋能者的含义有何看法？

成为“赋能者”意味着创造条件，使组织能够探索新解决方案——如 AI——而不会因对未知威胁的恐惧而瘫痪。通过建立强大的安全流程和策略，团队可以持续管理风险，而不是过早地关闭创新计划。换句话说，坚实的安全态势实际上可以培养创新文化，而不是阻碍它。

公司常犯哪些错误，阻止安全充当其组织的赋能者？他们应该做什么？

一个主要错误是将安全仅仅视为 IT 问题。当安全被标记为特定部门的责任时，组织就失去了保护整个业务所需的整体视角。我们合作的最成功的组织将安全视为共同责任，不同团队协作并从开发周期的最早阶段（“左移”）集成安全考虑。

哪些趋势可能对组织的安全策略和运营产生影响？

AI 和其他非确定性系统变得越来越核心，使得预测和圈定攻击面更加困难。这需要更结构化的威胁分析方法——如威胁建模和 NIST AI RMF 等框架——以及能够实时识别意外漏洞的工具，如 Detectify。通过结合广泛、包容的安全方法、集体责任感和系统化的威胁分析方法，组织既可以提高创新能力，又可以保持强大的安全态势。

有效的安全

难怪现代组织中有效安全的关键是将其认知从阻碍者转变为赋能者。只有当安全被视为进展的促进者而非障碍时，它才会真正被接受并有效。

“安全需要务实，需要被视为业务赋能者而非阻碍者，才能被认真对待。然而，务实并不意味着削弱安全的重要性。” Photobox 案例研究，讲述了一家成功将安全转变为更快产品开发的赋能者的公司故事。

您有兴趣了解更多关于 Detectify 的信息吗？开始 2 周免费试用或与我们的专家交谈。

如果您已经是 Detectify 客户，请不要错过“最新动态”页面，了解最新的产品更新、改进和新漏洞测试。