激励机制错位:网络安全计划与初创企业的致命伤

本文深入探讨了激励机制如何在组织与行业层面深刻影响网络安全实践。作者指出,大多数安全漏洞并非源于技术缺陷,而是源于各部门缺乏安全行动的激励。文章分析了开发、IT等团队的KPI如何与安全目标冲突,并探讨了错误激励如何导致安全计划失败乃至扼杀安全初创公司。

激励机制错位:网络安全计划与初创企业的致命伤

我一直思考这个话题,很高兴终于有时间将我的想法整理成文。我觉得在网络安全领域,很少有人讨论激励机制(除了我的朋友Chris Hughes,他经常在博客和LinkedIn上强调这个话题)。考虑到我们行业的一切都围绕着激励机制,这相当令人惊讶。在这篇文章中,我将分享一些关于这个问题的思考,讨论我认为最重要的方面,以及为什么更多人应该关注它。

激励机制定义了不同部门如何优先处理安全

如果你阅读Verizon DBIR、CrowdStrike报告或其他任何关于数据泄露根本原因的可信、定期发布的报告,或者只是关注新闻,你会发现一个一致的模式:

  • 大多数数据泄露并非由人工智能或区块链等新技术引起,也不是神秘、前所未见的零日漏洞的结果。
  • 绝大多数安全问题并非真正的“安全问题”;它们是源于其他类型组织的问题,并引入了安全风险。

换句话说,绝大多数数据泄露的发生都是因为一些基本而无聊的问题。有人忘记更改密码。有人无法在集中系统中追踪所有资产。有人决定授予承包商超出其需要的权限,但在承包商离开时忘记撤销访问。这个清单可以一直列下去,但这里重要的是,大多数情况下,导致公司被入侵的是安全团队无法自行解决的问题。这就是我的朋友Yaron Levi所说的“缺乏操作纪律”。

这些都不是高深莫测的火箭科学,任何在安全领域工作超过一年的人都明白这一点。然而,令我惊讶的是,安全专业人员仍然经常坚持认为情况应该不同——即工程师应该更关心安全编码,IT应该优先考虑访问卫生,团队应该默认考虑安全。通常被忽略的问题是:他们为什么要这样做? 如果组织中没有人在适当的激励下考虑安全,那么为什么这些应该成立呢?有句格言说:“被衡量的,才会被完成。”更直白地说,人们会做他们被激励去做的事情。

理解激励机制的一个简单方法是看两件事:什么能让人晋升,什么会让人被解雇。从最高层面来看,这两个问题的答案都与组织目标和关键绩效指标(KPI)挂钩。软件工程师和产品团队被激励快速交付产品。任何妨碍他们实现这一目标的事情(额外的设计评审、扩展测试,以及冗长的安全评审)——所有这些都成为需要避免的障碍。IT团队生活在工单系统中,他们被激励尽快关闭尽可能多的工单,同时不让人们感到厌烦。每一个IT支持请求(授予对X的访问权限、启用Y、打开到Z的连接)都意味着组织中有人需要某样东西,而且他们希望昨天就能完成。一切都是紧急的,一切都在着火,一切都是经理要求的,一切都必须毫无延迟地完成。毫不奇怪,IT部门被激励尽快关闭工单,并立即转向另一个(同样紧急的)请求。

每个部门都有自己的KPI,你猜怎么着,只有一个团队的绩效是根据风险降低来衡量的。因此,在大多数组织内部,唯一真正被激励去关心安全的高管是CISO,这并不奇怪。除非安全行为成为每个人绩效评估的一部分,与执行力、团队合作和沟通技巧并列,否则这种情况不会改变。

激励机制定义了不同公司和行业如何优先处理安全

一旦我们将目光从单个安全团队移开,放眼整个行业,激励机制的问题就更加明显。

整个行业时不时就会对一些新的大构想感到兴奋。几年前是关于SBOM,就在几个月前,是关于签署CISA的“安全设计承诺”(目前已有328家公司签署)。显然,我认为“安全设计承诺”是一个好的倡议;毕竟,它提高了人们对提前考虑安全重要性的认识,或者像他们说的,从一开始就设计安全,而不是事后修补安全。同时,认为这样的倡议会导致任何实际后果,意味着不理解激励机制是如何运作的。需要明确的是,这与CISA或其任何项目无关;问题再次在于激励机制。

我以前谈过这个。当一家公司刚刚起步时,通常只是车库里的几个人,所以所有的注意力都集中在弄清楚要构建什么以及追求什么方向上。显然,在这个阶段考虑安全是荒谬的:当整个企业在几个月内失败的可能性高达90-99%甚至更高时,最大的风险不是安全漏洞,而是找不到正确的切入点。假设创始人做对了,他们得以生存下来。从这时起,压力只会增加。下一个挑战是达到产品市场契合度(大多数初创公司从未达到这一点,因此将其作为优先事项对公司成功至关重要)。当公司有产品但没有客户时,首要任务不是让产品安全,而是获得第一个客户。然后是第二个,第三个,依此类推,直到少数幸运的初创公司得以生存并进入成长阶段,完全专注于增长。在公司发展的任何阶段,安全都不是首要任务。

“安全设计”听起来很棒,因为理论上,每家公司确实应该确保其产品在设计上是安全的。实际上,安全往往会拖慢业务速度,而在一个优先考虑速度和执行力高于一切的世界里,将安全放在首位永远不会是件容易的事。这就是激励机制再次扼杀安全的方式,不仅在公司层面,也在行业层面。

错误的激励机制可能扼杀安全初创公司

对于安全领导者和从业者来说,了解激励机制在我们行业的运作方式有助于提高安全计划的成功率。毕竟,当安全计划失败时,很少是因为技术不存在,或者因为CISO们不够努力。大多数失败的安全计划之所以失败,是因为激励机制错位。一个很好的例子是“左移”运动,它之所以失败,是因为开发人员从未被激励去拥有安全责任。当开发人员因为交付速度(而非安全)而获得晋升时,任何安全冠军计划都无法让他们优先考虑安全而非速度。

对于网络安全初创公司的创始人来说,误解激励机制可能是建立一家成功的公司与一家无法获得市场采纳的公司之间的区别。许多初创公司之所以失败,是因为它们假设公司内部的不同部门会比实际情况更关心安全。对于大多数安全初创公司最初瞄准的大型企业来说尤其如此。公司规模越大,IT、基础设施或工程部门为以安全为主要价值主张的产品付费或热衷于实施的可能性就越小。我之前解释过,要解决安全问题,你不一定要建立一家安全公司,IT和工程团队购买安全产品的唯一方式是,该产品提供的安全性是他们真正关心的其他价值主张的副产品。

仅仅理解组织激励机制以及不同团队如何融入其中是不够的。我也见过一些创始人试图追求大型的、生态系统层面的倡议,这些倡议同样遇到了激励机制的挑战。每隔一段时间,就会有一个有远见的人提出分享威胁情报或在检测数据上进行协作的想法,结果却发现存在错位的法律激励(公司不希望暴露数据泄露、花时间共享数据,或者害怕意外共享可能追溯到他们的信息)。许多有远见的想法都被现实中的法律责任、保险和其他问题如何影响公司行为所扼杀。在BSides演讲中听起来显而易见的想法,往往仅仅因为激励机制的运作方式而无法实现。

展望未来

那些在个人层面上了解我的人可以告诉你,我是一个乐观主义者(不仅仅是因为我写了《安全乐观主义者宣言》)。然而,即使是我,也很难看出如果不从根本上改变激励机制,我们如何才能改变安全工作的方式。在这方面需要做很多事情,无论是在组织层面还是行业层面。有些东西通常会自行演变,但激励机制很少会,除非发生重大事件。

我认为我对于如何改变公司乃至整个社会对待安全的方式并没有很好的见解。我只能希望,我们作为初创公司所做的工作能够带来一些微小的影响,并帮助那些真正关心安全的公司改进其安全状况。

如果你喜欢我的博客,请订阅并与你的朋友分享。我在业余时间做这件事,所以看到读者群增长有助于我保持动力并写更多内容。除了我的文章,我不会发送任何东西,也不会将你的数据出售给任何人,因为我有更好的事情要做。

如果你是一名建设者——无论是现任还是有抱负的初创公司创始人、安全从业者、市场营销或销售负责人、产品经理、投资者、软件开发人员、行业分析师,还是其他任何正在建设网络安全未来的人,请查看我的畅销书《建设者的网络安全》。

如果你的公司有兴趣赞助“安全风险投资”,请查看赞助页面。

最后,请查看“Inside the Network”播客,我们为你带来正在建设网络安全未来的最优秀的创始人、运营者和投资者。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次