0x1本周话题
话题:前几天看了安在直播的“软件供应链安全,SCA可堪重用?”,三位嘉宾眼界明亮,主持人颇有老罗风范,专业性和趣味性都很强。“甲方安全管理人员的工作,可以比喻为以前的电脑装机工作,现在则是在组织中'拼装'安全产品体系”。
A1:任何甲方安全负责人及团队的做法,一定是经过N多次的争取和妥协的最适合当下的结果。没必要用自身当下环境、条件和际遇,来评判其他人的做法。平台、环境和屁股都不一样。
A2:在行业头部公司,公司影响力,能提供的资源和管理支持,是广大中小企业没法比的,何况还有不同行业的巨大差距。我就遇到,去年年底CEO亲自拍板定下的预算和hc,也都进了财务预算系统,真正要去实施的时候,各种稀奇古怪的理由卡着不让花这笔预算及招人,前后掰扯了小半年,返回去无数次讲价值,调整方案,就差撂挑子走人了,这能说是安全团队无能?对很多安全从业人员,最后只能妥协:行,那就先苟着呗,反正老板你不缺我工资就行,后面出事了再伺机而动。这事实逼着安全团队不得不跳出来看公司业务发展情况,想办法降本增效,毕竟最终是要为业务服务。关于安全产品的堆砌这事。要么是老板卡预算,安全团队退而求其次调整方案;要么就是每个安全产商只能对某部分擅长,不得不多家组合使用。除了个别大厂,哪个甲方能全自研?
A3:跟当年电脑装机一样,拼装安全产品体系,也是个技术活啊,也是有技术含量和不可替代性的。
A4:大多数企业只顾降本,不讲增效。招标时要求供应商名单从3-5家,上升到10家以上。采购部就一个原则:谁便宜选谁。要讲技术标?或者指定采购,行,无论金额多少,全到CEO特批。这条路,没有3个月的汇报周期根本结束不了。最后折腾到没脾气了。最后同意采购了,采购部谈下来的价格,CEO还是不信任,在他手上hold了起码一个月,因为他要花时间找他的其他公司和行业的朋友来把关,这报价是否靠谱……
A5:卡得这么严的话,是不是出了信任问题,是单个项目这样还是普遍现象,按理说预算都是考虑进去成本了的,除非本来就没有把预算考虑进去。
A6:稍微大一点的甲方,安全乙方都有三十家以上吧。
A7:一般不都是技术商务三七开,长进短的时候把不想要厂商先洗掉。
A8:花在立项采购的非技术事务上就耗不少人力,每年光维保一项就得不少事。
A9:非技术事务才是老板真正关心的,这很正常,我以前一个咨询项目22万,跟老板论证了7个月,最后从老板身上我学到了很多,直接帮助我总结了一套安全项目的测试、评估方法论。技术人员自己要想办法和采购、老板之间建立信任,这是每个基层人员都必须具备的能力。信任分2种,态度和能力,光有态度那叫愚忠,光有能力那叫反骨,得有态度、有能力。
A10:有需求才有市场,有交易才有甲乙方,没有交易,就不是甲乙方关系。
A11:老板会不会觉得:既然要外部专业咨询来指导,那你们是不是就可以撤掉了,或者全换为低层级的,或者缩编。
A12:现在几乎是,咨询就有罪。咨询越来越不受待见了。甚至有一种排斥。
A13:几乎没看到有点规模的安全团队会找外部咨询,只有那种团队从0-1的才会找咨询。内部连探讨安全问题的人都没有,只能外求了。内部既然有安全团队,哪怕只有三五个,老板只会认为你们是专业的,风险识别,方案制定和实施,你们都能搞定,干嘛还要花钱找外部专门做咨询。
A14:合规咨询是个挺大的生意,现在新法新规这么多,很多时候标准还不明确,有些咨询还是免不了。
A15:看来大家都经历过,特别是在目前经济预期和收入增长缓慢情况,安全预算只能是越来越难申请。
A16:安全部门做好风险揭示,不批钱可以,不批钱的能担责就行。
A17:业务不发展是最大的不安全,公司的安全部门应该有这样的认知,所以做好风险揭示,也和业务方相互理解相互支持,阶段性堵枪口是需要的。但如果是业务方和决策方根本不把安全当回事,那早点撤为好,除非这个岗位就是等着背锅的。
